4. Северин В.А. Комплексная защита информации на предприятии (20xx) (Северин В.А. Комплексная защита информации на предприятии (20xx).doc), страница 7

В теории на концептуальном уровне описаны различные подходы к созданию автоматизированной системы управления мониторингом угроз информационной безопасности коммерческих организаций (финансово-промышленных групп, холдингов, консорциумов, ассоциаций и т.д.). При формулировании пред­ложений ученым» использован опыт разработки аналогичных по структуре систем в советский период. Нужно отметить, что в литературе давно и активно обсуждается проблема автоматизации функций работников службы безопасности, однако при этом не всегда учитываются особенности организационного и правового обеспечения создания такой системы².

Вопрос о том, каким образом выявлять угрозы информаци­онной безопасности, которые в общем виде сформулированы в Доктрине информационной безопасности РФ, и главное, как пре­дупреждать возникновение этих угроз, приобретает в настоящее время особую актуальность и практическую значимость.

При их изучении следует иметь в виду, что большая часть источников угроз интересам личности, общества и государства, которые названы в Доктрине, давно известны. Их противодей­ствию в бывшем Советском Союзе уделялось весьма серьезное внимание. Особенно, когда речь шла о защите государственных интересов. Однако с образованием Российской Федерации, переходом ее к рыночной экономике и вхождением в мировое

21

информационное сообщество, количественный и качественный состав угроз ИБ многократно возрос. Появились новые опас­ности как внутри страны, так и исходящие извне. Особенно это характерно для коммерческих организаций, которые вынуждены с использованием собственных сил и средств, осуществлять про­тиводействие угрозам их бизнесу.

В этих условиях представляется важным определить на уровне организации алгоритм разработки системы сбора и анализа дан­ных об источниках угроз ее безопасности. Функционирование этой системы позволит эффективно осуществлять меры предуп­реждения угроз на ранних стадиях их возникновения.

Задача состоит в проведении организациями постоянной работы, связанной с выявлением и предупреждением угроз ИБ. В короткий промежуток времени в различных звеньях системы деятельности организаций возникают внутренние и внешние угрозы ИБ. Реакция органов управления организаций на возни­кающие угрозы разглашения (утечки) КЗИ, зачастую проявляется в действиях по ликвидации их последствий. Вместе с тем задача состоит, образно говоря, не в «тушении очагов пожара», явив­шихся источником разглашения КЗИ, а в выявлении причин чрезвычайного происшествия и разработке мер по их предуп­реждению.

В этих условиях, на наш взгляд, должна быть разработана и внедрена постоянно действующая система, функциональны­ми задачами которой будет оперативное выявление, оценка, прогнозирование и выдача рекомендаций по предупреждению внутренних и внешних угроз ИБ в наиболее важных сферах деятельности организаций, на конкретных участках работы, где сосредоточены коммерческие секреты. Решение этой задачи ви­дится в разработке комплексно-целевой программы создания и внедрения автоматизированной системы управления мониторингом угроз информационной безопасности коммерческих организаций.

Сущность предлагаемой системы характеризуется следующими положениями. Проектирование и разработка системы должны осуществляться с соблюдением определенных принципов. К чис­лу основных принципов следует отнести:

• функционально-организационный и территориальный при­нцип создания системы, позволяющий учитывать сферу ин­тересов коммерческих организаций;

• комплексный охват информационной сферы с учетом иму­щественных интересов организаций и анализа их взаимоот­ношений с государственными органами, органами местного самоуправления, партнерами, клиентами, заказчиками и т.д.;

• единство организационного, правового, информационного, математического и технического обеспечения системы;

• принцип последовательности разработки и внедрения отде­льных составных звеньев системы (информационно-справоч­ная система, оперативного контроля по выявлению и анализу возможных угроз ИБ, прогнозирования событий на объектах контроля и моделирования мер по предупреждению причин и условий, способствующих возникновению угроз ИБ и за­крытию ВКУ конфиденциальной информации);

• принцип типизации технических элементов системы, методов преобразования информации и алгоритмов решения задач, связанных с возникновением угроз и их предупреждением; возможность адаптации и развития системы, применительно к любому уровню коммерческой организации;

• принцип непрерывного развития системы.

Названные принципы лежат в основе разработки контура комплексно-целевой программы создания системы, которая может включать, на наш взгляд, три самостоятельные подпрограммы:

• быстрого выхода на автоматизацию основных функций, связанных с установлением режима коммерческой тайны в организации (сбор и анализ информации для включения в Перечень сведений, составляющих коммерческую тайну, формирование и обеспечение функционирования допускной и разрешительной системы и др.);

• достижения основного результата автоматизации функций, связанных с обеспечением установленного в организации режима обращения КЗИ (выявление, оценка и прогноз воз­можных угроз ИБ, ВКУ КЗИ применительно к условиям кон­кретной хозяйственной ситуации с использованием различных форм и методов);

• моделирования мер по предупреждению угроз и закрытию ВКУ КЗИ, позволяющая в автоматизированном виде осуществлять выдачу рекомендаций субъектам (служба безопасности, руко­водители структурных подразделений и др.) по использованию правовых и иных средств в целях предупреждения нарушений установленного режима коммерческой тайны и пресечению выявленных правонарушений.

При проектировании системы учитывается существующая в крупных организациях специфика иерархической структуры

управления (ассоциация, холдинг, корпорация и т.п.) и распре­деление функций между основным и дочерними хозяйственными обществами, и их структурными подразделениями. Заказчиком системы может выступить основное акционерное общество, которое на основании договора о совместной деятельности с дочерним обществом, выполняет функции головной организа­ции-заказчика, разрабатывает и согласовывает техническое за­дание на разработку системы, заключает договор и обеспечивает выполнение обязательств.

Проектируемая система может включать различные техноло­гические режимы ее работы. В частности, она может выполнять функции справочно-информационного обслуживания и управ­ления системой защиты КЗИ.

Во-первых, справочно-информационное обслуживание состоит в обеспечении необходимой информацией собственных подраз­делений организации и контрагентов в режиме «запрос—ответ» по вопросам обеспечения ИБ. Поэтому с контрагентами допол­нительно заключается договор на оказание информационных услуг.

Во-вторых, система выполняет обеспечительную функцию управления системой безопасности. Режим управления системой состоит из ряда детерминированных операций. В частности, информационные потоки регламентированы по времени и кругу пользователей; соответствующие данные об угрозах выдаются опе­ративно в объеме поставленных задач; поступающие к субъектам данные используются в целях предупреждения возможных угроз безопасности; корректируются действия субъектов по нейтрали­зации и устранению причин, способствующих возникновению угроз, которые могут привести к утечке КЗИ; осуществляется оперативное оповещение субъектов о появлении угроз, при этом их действия контролируются системой с помощью ЭВМ. Полученные таким образом результаты, позволяют оперативно оценивать хозяйственную ситуацию и эффективность принима­емых мер по охране конфиденциальности КЗИ.

Решение задач, связанных с разработкой и функционировани­ем системы, предполагает соблюдение ряда условий: обеспечение организационного единства выполняемых научно-исследова­тельских и проектных работ со стороны головного разработчика системы; согласование частных технических заданий соисполни­телям на разработку опытного образца системы; формирование заказчиком условий рамочного (основного) договора и их согла­сование с головной организацией — разработчиком; определение сроков выполнения работы и ее отдельных этапов; заключение договоров с соисполнителями на выполнение отдельных частей НИОКР, включая и опытный образец системы; привлечение к этой работе специалистов различного профиля (юристов, социологов, экономистов, математиков, программистов и др.); обеспечение гибких форм управления трудовым коллективом с учетом специализации разработчиков и аналитиков на различных этапах создания и эксплуатации системы.

Работа по созданию системы выполняется в несколько эта­пов. Для первого этапа характерно развертывание головным разработчиком научно-исследовательских, проектных и макет­ных работ, практическое решение задач справочного, учетного, аналитического и контрольного характера с учетом типизации угроз организации-заказчика.

Второй этап связан с автоматизацией процессов подготовки, сбора, обработки и выдачи информации о возможных угрозах без­опасности организации, причинах и условиях, способствующих разглашению (утечке) КЗИ, выполняемых на основании договора с заказчиком, в котором учтены особенности его хозяйственной деятельности, а также согласованы условия по охране конфи­денциальности информации. Окончание работ на этом этапе позволит обеспечить организацию оперативной информацией о причинах и условиях возникновения возможных угроз ИБ, об открытии ВКУ КЗИ; совмещение функций управления и опе­ративного контроля за развитием хозяйственной ситуации на конкретных направлениях деятельности организации; получение необходимой информации для моделирования ситуаций, ведущих к угрозам ИБ с помощью ЭВМ.

Третий этап автоматизации процессов в сфере обращения КЗИ посвящен созданию экспертной системы, обеспечивающей оперативное представление субъекту в соответствии с его требо­ваниями набора автоматически проанализированных альтернатив решения задач, связанных с реализацией мер по предупреждению причин и условий, способствующих возникновению угроз ИБ организации, ее партнерам и контрагентам.

Таким образом, разработка и внедрение системы в коммер­ческих организациях позволит более качественно решать задачи выявления и предупреждения угроз, возникающих в процессе деятельности организации с использованием ЭВМ и информа­ционно-телекоммуникационной сети.

Контрольные вопросы

1. Какое содержание имеет понятие «информационная без­опасность» применительно к коммерческим организациям?

2. Проанализируйте внешние и внутренние угрозы имущес­твенным интересам организаций.

3. Раскройте содержание дестабилизирующих факторов, обус­ловливающих угрозы безопасности организации.

4. Назовите дестабилизирующие факторы, обусловливающие кризисные хозяйственные ситуации, угрожающие безопасности организации.

5. Расскажите, каким образом можно выявлять и предуп­реждать угрозы информационной безопасности организаций в современный период?

6. Определите на уровне организации алгоритм разработки системы сбора и анализа данных об источниках угроз ее без­опасности.

7. Назовите принципы построения системы безопасности организаций, раскройте их значение.

8. Какие технологические режимы может включать проекти­руемая система безопасности организаций?

9. Расскажите об особенностях разработки и внедрения авто­матизированных систем безопасности в коммерческих организа­циях.

Глава 3

Механизм обеспечения защиты секретной информации в советский период

§ 1. Деятельность органов государственной власти и управления в области защиты государственных секретов

Существенное значение для понимания современного меха­низма регулирования защиты КЗИ, организационного, правового и научно-методического обеспечения информационной безо­пасности коммерческих организаций имеет изучение советского опыта деятельности субъектов, осуществлявших защиту государ­ственных секретов, включавших информацию технического и тех­нологического характера. Для современного этапа развития нашей страны в условиях смешанной рыночной экономики отдельные элементы советской системы защиты секретов обнаруживают тесную связь с практикой охраны конфиденциальности инфор­мации, прежде всего крупных коммерческих организаций.

В советский период действовал хорошо отлаженный механизм обеспечения режима секретности и охраны государственной тайны, в рамках которого осуществлялась защита сведений тех­нического и технологического характера. Функционирование государственного механизма позволяло обеспечить на ранней стадии предотвращение разглашения (утечки) охраняемой ин­формации. ОРС проводимых работ представляло собой в тот период специфическую область государственного управления, имело многоуровневый характер и осуществлялось в процессе как общих задач производственной, научно-технической и хо­зяйственной деятельности, так и специализированных задач. ОРС работ не сводилось только к деятельности РСО, а включало в себя широкий круг мер, которые осуществлялись государственными органами, администрацией и общественными организациями предприятий.

В зависимости от возложенных на них функций они осущест­вляли планирование мероприятий по ОРС работ и контроль за их выполнением и несли в этой связи ответственность в соответствии

Контрольные вопросы

1. Какое содержание имеет понятие «информационная без­опасность» применительно к коммерческим организациям?

2. Проанализируйте внешние и внутренние угрозы имущес­твенным интересам организаций.

3. Раскройте содержание дестабилизирующих факторов, обус­ловливающих угрозы безопасности организации.

4. Назовите дестабилизирующие факторы, обусловливающие кризисные хозяйственные ситуации, угрожающие безопасности организации.

5. Расскажите, каким образом можно выявлять и предуп­реждать угрозы информационной безопасности организаций в современный период?

6. Определите на уровне организации алгоритм разработки системы сбора и анализа данных об источниках угроз ее без­опасности.

7. Назовите принципы построения системы безопасности организаций, раскройте их значение.

8. Какие технологические режимы может включать проекти­руемая система безопасности организаций?

9. Расскажите об особенностях разработки и внедрения авто­матизированных систем безопасности в коммерческих организа­циях.

Глава 3