4. Северин В.А. Комплексная защита информации на предприятии (20xx) (Северин В.А. Комплексная защита информации на предприятии (20xx).doc), страница 7
Описание файла
Документ из архива "Северин В.А. Комплексная защита информации на предприятии (20xx).doc", который расположен в категории "". Всё это находится в предмете "правоведение" из 10 семестр (2 семестр магистратуры), которые можно найти в файловом архиве МГУ им. Ломоносова. Не смотря на прямую связь этого архива с МГУ им. Ломоносова, его также можно найти и в других разделах. .
Онлайн просмотр документа "4. Северин В.А. Комплексная защита информации на предприятии (20xx)"
Текст 7 страницы из документа "4. Северин В.А. Комплексная защита информации на предприятии (20xx)"
В теории на концептуальном уровне описаны различные подходы к созданию автоматизированной системы управления мониторингом угроз информационной безопасности коммерческих организаций (финансово-промышленных групп, холдингов, консорциумов, ассоциаций и т.д.). При формулировании предложений ученым» использован опыт разработки аналогичных по структуре систем в советский период. Нужно отметить, что в литературе давно и активно обсуждается проблема автоматизации функций работников службы безопасности, однако при этом не всегда учитываются особенности организационного и правового обеспечения создания такой системы2.
Вопрос о том, каким образом выявлять угрозы информационной безопасности, которые в общем виде сформулированы в Доктрине информационной безопасности РФ, и главное, как предупреждать возникновение этих угроз, приобретает в настоящее время особую актуальность и практическую значимость.
При их изучении следует иметь в виду, что большая часть источников угроз интересам личности, общества и государства, которые названы в Доктрине, давно известны. Их противодействию в бывшем Советском Союзе уделялось весьма серьезное внимание. Особенно, когда речь шла о защите государственных интересов. Однако с образованием Российской Федерации, переходом ее к рыночной экономике и вхождением в мировое
21
информационное сообщество, количественный и качественный состав угроз ИБ многократно возрос. Появились новые опасности как внутри страны, так и исходящие извне. Особенно это характерно для коммерческих организаций, которые вынуждены с использованием собственных сил и средств, осуществлять противодействие угрозам их бизнесу.
В этих условиях представляется важным определить на уровне организации алгоритм разработки системы сбора и анализа данных об источниках угроз ее безопасности. Функционирование этой системы позволит эффективно осуществлять меры предупреждения угроз на ранних стадиях их возникновения.
Задача состоит в проведении организациями постоянной работы, связанной с выявлением и предупреждением угроз ИБ. В короткий промежуток времени в различных звеньях системы деятельности организаций возникают внутренние и внешние угрозы ИБ. Реакция органов управления организаций на возникающие угрозы разглашения (утечки) КЗИ, зачастую проявляется в действиях по ликвидации их последствий. Вместе с тем задача состоит, образно говоря, не в «тушении очагов пожара», явившихся источником разглашения КЗИ, а в выявлении причин чрезвычайного происшествия и разработке мер по их предупреждению.
В этих условиях, на наш взгляд, должна быть разработана и внедрена постоянно действующая система, функциональными задачами которой будет оперативное выявление, оценка, прогнозирование и выдача рекомендаций по предупреждению внутренних и внешних угроз ИБ в наиболее важных сферах деятельности организаций, на конкретных участках работы, где сосредоточены коммерческие секреты. Решение этой задачи видится в разработке комплексно-целевой программы создания и внедрения автоматизированной системы управления мониторингом угроз информационной безопасности коммерческих организаций.
Сущность предлагаемой системы характеризуется следующими положениями. Проектирование и разработка системы должны осуществляться с соблюдением определенных принципов. К числу основных принципов следует отнести:
• функционально-организационный и территориальный принцип создания системы, позволяющий учитывать сферу интересов коммерческих организаций;
• комплексный охват информационной сферы с учетом имущественных интересов организаций и анализа их взаимоотношений с государственными органами, органами местного самоуправления, партнерами, клиентами, заказчиками и т.д.;
• единство организационного, правового, информационного, математического и технического обеспечения системы;
• принцип последовательности разработки и внедрения отдельных составных звеньев системы (информационно-справочная система, оперативного контроля по выявлению и анализу возможных угроз ИБ, прогнозирования событий на объектах контроля и моделирования мер по предупреждению причин и условий, способствующих возникновению угроз ИБ и закрытию ВКУ конфиденциальной информации);
• принцип типизации технических элементов системы, методов преобразования информации и алгоритмов решения задач, связанных с возникновением угроз и их предупреждением; возможность адаптации и развития системы, применительно к любому уровню коммерческой организации;
• принцип непрерывного развития системы.
Названные принципы лежат в основе разработки контура комплексно-целевой программы создания системы, которая может включать, на наш взгляд, три самостоятельные подпрограммы:
• быстрого выхода на автоматизацию основных функций, связанных с установлением режима коммерческой тайны в организации (сбор и анализ информации для включения в Перечень сведений, составляющих коммерческую тайну, формирование и обеспечение функционирования допускной и разрешительной системы и др.);
• достижения основного результата автоматизации функций, связанных с обеспечением установленного в организации режима обращения КЗИ (выявление, оценка и прогноз возможных угроз ИБ, ВКУ КЗИ применительно к условиям конкретной хозяйственной ситуации с использованием различных форм и методов);
• моделирования мер по предупреждению угроз и закрытию ВКУ КЗИ, позволяющая в автоматизированном виде осуществлять выдачу рекомендаций субъектам (служба безопасности, руководители структурных подразделений и др.) по использованию правовых и иных средств в целях предупреждения нарушений установленного режима коммерческой тайны и пресечению выявленных правонарушений.
При проектировании системы учитывается существующая в крупных организациях специфика иерархической структуры
управления (ассоциация, холдинг, корпорация и т.п.) и распределение функций между основным и дочерними хозяйственными обществами, и их структурными подразделениями. Заказчиком системы может выступить основное акционерное общество, которое на основании договора о совместной деятельности с дочерним обществом, выполняет функции головной организации-заказчика, разрабатывает и согласовывает техническое задание на разработку системы, заключает договор и обеспечивает выполнение обязательств.
Проектируемая система может включать различные технологические режимы ее работы. В частности, она может выполнять функции справочно-информационного обслуживания и управления системой защиты КЗИ.
Во-первых, справочно-информационное обслуживание состоит в обеспечении необходимой информацией собственных подразделений организации и контрагентов в режиме «запрос—ответ» по вопросам обеспечения ИБ. Поэтому с контрагентами дополнительно заключается договор на оказание информационных услуг.
Во-вторых, система выполняет обеспечительную функцию управления системой безопасности. Режим управления системой состоит из ряда детерминированных операций. В частности, информационные потоки регламентированы по времени и кругу пользователей; соответствующие данные об угрозах выдаются оперативно в объеме поставленных задач; поступающие к субъектам данные используются в целях предупреждения возможных угроз безопасности; корректируются действия субъектов по нейтрализации и устранению причин, способствующих возникновению угроз, которые могут привести к утечке КЗИ; осуществляется оперативное оповещение субъектов о появлении угроз, при этом их действия контролируются системой с помощью ЭВМ. Полученные таким образом результаты, позволяют оперативно оценивать хозяйственную ситуацию и эффективность принимаемых мер по охране конфиденциальности КЗИ.
Решение задач, связанных с разработкой и функционированием системы, предполагает соблюдение ряда условий: обеспечение организационного единства выполняемых научно-исследовательских и проектных работ со стороны головного разработчика системы; согласование частных технических заданий соисполнителям на разработку опытного образца системы; формирование заказчиком условий рамочного (основного) договора и их согласование с головной организацией — разработчиком; определение сроков выполнения работы и ее отдельных этапов; заключение договоров с соисполнителями на выполнение отдельных частей НИОКР, включая и опытный образец системы; привлечение к этой работе специалистов различного профиля (юристов, социологов, экономистов, математиков, программистов и др.); обеспечение гибких форм управления трудовым коллективом с учетом специализации разработчиков и аналитиков на различных этапах создания и эксплуатации системы.
Работа по созданию системы выполняется в несколько этапов. Для первого этапа характерно развертывание головным разработчиком научно-исследовательских, проектных и макетных работ, практическое решение задач справочного, учетного, аналитического и контрольного характера с учетом типизации угроз организации-заказчика.
Второй этап связан с автоматизацией процессов подготовки, сбора, обработки и выдачи информации о возможных угрозах безопасности организации, причинах и условиях, способствующих разглашению (утечке) КЗИ, выполняемых на основании договора с заказчиком, в котором учтены особенности его хозяйственной деятельности, а также согласованы условия по охране конфиденциальности информации. Окончание работ на этом этапе позволит обеспечить организацию оперативной информацией о причинах и условиях возникновения возможных угроз ИБ, об открытии ВКУ КЗИ; совмещение функций управления и оперативного контроля за развитием хозяйственной ситуации на конкретных направлениях деятельности организации; получение необходимой информации для моделирования ситуаций, ведущих к угрозам ИБ с помощью ЭВМ.
Третий этап автоматизации процессов в сфере обращения КЗИ посвящен созданию экспертной системы, обеспечивающей оперативное представление субъекту в соответствии с его требованиями набора автоматически проанализированных альтернатив решения задач, связанных с реализацией мер по предупреждению причин и условий, способствующих возникновению угроз ИБ организации, ее партнерам и контрагентам.
Таким образом, разработка и внедрение системы в коммерческих организациях позволит более качественно решать задачи выявления и предупреждения угроз, возникающих в процессе деятельности организации с использованием ЭВМ и информационно-телекоммуникационной сети.
Контрольные вопросы
1. Какое содержание имеет понятие «информационная безопасность» применительно к коммерческим организациям?
2. Проанализируйте внешние и внутренние угрозы имущественным интересам организаций.
3. Раскройте содержание дестабилизирующих факторов, обусловливающих угрозы безопасности организации.
4. Назовите дестабилизирующие факторы, обусловливающие кризисные хозяйственные ситуации, угрожающие безопасности организации.
5. Расскажите, каким образом можно выявлять и предупреждать угрозы информационной безопасности организаций в современный период?
6. Определите на уровне организации алгоритм разработки системы сбора и анализа данных об источниках угроз ее безопасности.
7. Назовите принципы построения системы безопасности организаций, раскройте их значение.
8. Какие технологические режимы может включать проектируемая система безопасности организаций?
9. Расскажите об особенностях разработки и внедрения автоматизированных систем безопасности в коммерческих организациях.
Глава 3
Механизм обеспечения защиты секретной информации в советский период
§ 1. Деятельность органов государственной власти и управления в области защиты государственных секретов
Существенное значение для понимания современного механизма регулирования защиты КЗИ, организационного, правового и научно-методического обеспечения информационной безопасности коммерческих организаций имеет изучение советского опыта деятельности субъектов, осуществлявших защиту государственных секретов, включавших информацию технического и технологического характера. Для современного этапа развития нашей страны в условиях смешанной рыночной экономики отдельные элементы советской системы защиты секретов обнаруживают тесную связь с практикой охраны конфиденциальности информации, прежде всего крупных коммерческих организаций.
В советский период действовал хорошо отлаженный механизм обеспечения режима секретности и охраны государственной тайны, в рамках которого осуществлялась защита сведений технического и технологического характера. Функционирование государственного механизма позволяло обеспечить на ранней стадии предотвращение разглашения (утечки) охраняемой информации. ОРС проводимых работ представляло собой в тот период специфическую область государственного управления, имело многоуровневый характер и осуществлялось в процессе как общих задач производственной, научно-технической и хозяйственной деятельности, так и специализированных задач. ОРС работ не сводилось только к деятельности РСО, а включало в себя широкий круг мер, которые осуществлялись государственными органами, администрацией и общественными организациями предприятий.
В зависимости от возложенных на них функций они осуществляли планирование мероприятий по ОРС работ и контроль за их выполнением и несли в этой связи ответственность в соответствии
Контрольные вопросы
1. Какое содержание имеет понятие «информационная безопасность» применительно к коммерческим организациям?
2. Проанализируйте внешние и внутренние угрозы имущественным интересам организаций.
3. Раскройте содержание дестабилизирующих факторов, обусловливающих угрозы безопасности организации.
4. Назовите дестабилизирующие факторы, обусловливающие кризисные хозяйственные ситуации, угрожающие безопасности организации.
5. Расскажите, каким образом можно выявлять и предупреждать угрозы информационной безопасности организаций в современный период?
6. Определите на уровне организации алгоритм разработки системы сбора и анализа данных об источниках угроз ее безопасности.
7. Назовите принципы построения системы безопасности организаций, раскройте их значение.
8. Какие технологические режимы может включать проектируемая система безопасности организаций?
9. Расскажите об особенностях разработки и внедрения автоматизированных систем безопасности в коммерческих организациях.
Глава 3