Система безопасности в Российской Федерации и пути её совершенствования. Совершенствование системы информационной безопасности на предприятии По совершенствованию системы информационной безопасности

Проанализировав информационную безопасность предприятия можно сделать вывод, что в информационной безопасности уделяется недостаточное внимание следующим моментам:

– нерегулярное резервное копирование базы данных предприятия;

– не выполняется резервное копирование данных на персональных компьютерах сотрудников;

– сообщения электронной почты хранятся на серверах почтовых служб в Интернете;

– некоторые сотрудники имеют недостаточные навыки работы с автоматизированными системами;

– сотрудники имеют доступ к персональным компьютерам своих коллег;

– отсутствие антивирусных программ на некоторых рабочих станциях;

– плохое разграничение прав доступа к сетевым ресурсам;

– отсутствуют нормативные документы по безопасности.

Все вышеперечисленное является очень важными недостатками обеспечения информационной безопасности предприятия.

Анализ рисков

Опасность угрозы определяется риском в случае ее успешной реализации. Риск - потенциально возможный ущерб. Допустимость риска означает, что ущерб в случае реализации угрозы не приведет к серьезным негативным последствиям для владельца информации. В организации существуют следующие риски:

1. Нерегулярное резервное копирование базы данных предприятия;

Последствия: потеря данных о работе предприятия.

2. Не выполняется резервное копирование данных на персональных компьютерах сотрудников;

Последствия: при отказах оборудования некоторые важные данные могут быть потеряны.

3. Сообщения электронной почты хранятся на серверах почтовых служб в Интернете;

4. Некоторые сотрудники имеют недостаточные навыки работы с автоматизированными системами;

Последствия: может привести к появлению в системе неверных данных.

5. Сотрудники имеют доступ к персональным компьютерам своих коллег;

6. Отсутствие антивирусных программ на некоторых рабочих станциях;

Последствия: появление в системе вирусных программ, вредоносного программного обеспечения

7. Плохое разграничение прав доступа к сетевым ресурсам;

Последствия: по неосторожности может привести к потере данных.

8. Отсутствуют нормативные документы по безопасности.

Цель и задачи системы информационной безопасности

Основной целью системы безопасности предприятия является предотвращение ущерба ее деятельности за счет хищения материально-технических средств и документации; уничтожения имущества и ценностей; разглашения, утечки и несанкционированного доступа к источникам конфиденциальной информации; нарушения работы технических средств обеспечения производственной деятельности, включая и средства информатизации, а также предотвращение ущерба персоналу предприятия.

Целями системы безопасности являются:

· защита прав предприятия, его структурных подразделений и сотрудников;

· сохранение и эффективное использование финансовых, материальных и информационных ресурсов;

· повышение имиджа и роста прибыли предприятия за счет обеспечения качества услуг и безопасности клиентов.

Задачи системы безопасности предприятия:

· своевременное выявление и устранение угроз персоналу и ресурсам; причин и условий, способствующих нанесению финансового, материального и морального ущерба интересам предприятия, нарушения его нормального функционирования и развития;

· отнесение информации к категории ограниченного доступа, а других ресурсов - к различным уровням уязвимости (опасности) и подлежащих сохранению;

· создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций в функционировании предприятия;

· эффективное пресечение посягательств на ресурсы и угроз персоналу на основе комплексного подхода к безопасности;

Организация и функционирование системы безопасности должны осуществляться на основе следующих принципов:

Комплексность. Предполагает обеспечение безопасности персонала, материальных и финансовых ресурсов, информации от всех возможных угроз всеми доступными законными средствами и методами, в течение всего жизненного цикла и во всех режимах функционирования, а также способностью системы к развитию и совершенствованию в процессе функционирования.

Надежность. Различные зоны безопасности должны быть одинаково надежными с точки зрения вероятности реализации угрозы.

Своевременность. Способность системы носить упреждающий характер на основе анализа и прогнозирования угроз безопасности и разработке эффективных мер противодействия им.

Непрерывность. Отсутствие перерывов в действии систем безопасности, вызванных ремонтом, заменой, профилактикой и т.д.

Законность. Разработка систем безопасности на основе существующего законодательства.

Разумная достаточность. Установление приемлемого уровня безопасности, при котором вероятность и размер возможного ущерба будут сочетаться с предельно допустимыми затратами на разработку и функционирование системы безопасности.

Централизация управления. Самостоятельное функционирование системы безопасности по единым организационным, функциональным и методологическим принципам.

Компетентность. Система безопасности должна создаваться и управляться лицами, имеющими профессиональную подготовку, достаточную для корректной оценки обстановки и адекватного принятия решения, в том числе в условиях повышенного риска.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

КУРСОВОЙ ПРОЕКТ

По дисциплине «Информационная безопасность»

На тему

«Совершенствование системы информационной безопасности на

предприятии ООО «Овен»

Введение

Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

Если говорить о безопасности информации, сохраняющейся на традиционных носителях (бумага, фотоотпечатки и т.п.), то ее сохранность достигается соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более широким по сравнению с информационной безопасностью относительно "традиционных" носителей.

Если говорить о различиях в подходах к решению проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют. Подход к обеспечению безопасности Государственной автоматизированной системы "Выборы" не отличается от подхода к обеспечению безопасности локальной сети в маленькой фирме. Поэтому принципы обеспечения информационной безопасности в данной работе рассматриваются на примерах деятельности отдельной организации.

Целью курсового проекта является совершенствование системы информационной безопасности ООО «Овен». Задачами курсовой работы будут - анализ ООО «Овен», его ресурсов, структуры и существующей системы информационной безопасности на предприятии и поиск методы по ее улучшению.

На первом этапе будет проводиться анализ системы защиты информации. Из полученных результатов на втором этапе будет проводиться поиск методов по улучшению защиты информации, если будут существовать слабые стороны в данной системе.

1. Анализ системы информационной безопасности на ООО «Овен»

1.1 Характеристика предприятия. Организационно-штатная структура предприятия. Служба, занимающаяся информационными ресурсами и их защитой

Полное фирменное название предприятия - Общество с ограниченной ответственностью «Овен». Сокращенное наименование Общества - ООО «Овен». Далее по тексту Общество. Общество не имеет филиалов и представительств, единственный его центр расположен в Пермском крае, Суксунском районе, д. Мартьяново.

Общество было образовано в 1990 году как небольшое фермерское хозяйство и имело трех учредителей. После реорганизации фермерского хозяйства в крестьянское хозяйство в 1998 остался единственный учредитель. Последний раз реорганизация была в апреле 2004 года. С 1 апреля предприятие стало именоваться обществом с ограниченной ответственностью «Овен».

Основное направление деятельности общества - выращивание сельскохозяйственной продукции, семенного материала, реализация сельхоз продукции. Сегодня в России общество занимает тринадцатое место среди картофелеводческих хозяйств и первое в Пермском крае.

Юридический адрес: Россия, 617553, Пермский край, Суксунский, д. Мартьяново.

Цели предприятия в целом:

· Получение прибыли основной деятельности.

· Повышение конкурентоспособности продукции и расширение рынков сбыта.

· Концентрация капитала и наращивание инвестиционных ресурсов для реализации инвестиционных и иных проектов.

Миссия предприятия общества:

1. Продолжать занимать лидирующие позиции на рынке.

2. Создание семеноводческого хозяйства.

Организационная структура предприятия.

На предприятии используется линейно-функциональная структур. В линейно-функциональной структуре формируется иерархия служб. В этой структуре руководители функциональных подразделений имеют право отдавать распоряжения на следующую ступень управления по функциональным вопросам.

Структура предприятия представлена на рисунке 1.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 1 - Организационная структура ООО «Овен»

1.2 Анализ и характеристика информационных ресурсов предприятия

Сегодня все озабочены безопасностью корпоративной информации. Все большую популярность приобретают отдельные программы и целые комплексы, предназначенные для защиты данных. Однако никто не задумывается над тем, что можно иметь сколько угодно надежную защиту, но все равно потерять важную информацию. Потому, что кто-то из ваших сотрудников сочтет ее незначащей и выставит на всеобщее обозрение. И если вы уверены, что защищены от этого, то сильно заблуждаетесь. На первый взгляд подобная ситуация выглядит чем-то нереальным, похожим на анекдот. Однако такое действительно случается, причем случается часто. И действительно, технический персонал, который в подавляющем большинстве случаев и занимается проблемами безопасности информации, не всегда понимает, какие данные нужно прятать, а какие нет. Для того, чтобы понять нужно разбить всю информацию на разные типы, которые принято называть типами, и четко определить границы между ними.

Собственно говоря, все компании, специализирующиеся на поставке комплексных систем обеспечения безопасности компьютерной информации, учитывают деление данных по различным типам. Вот только тут надо быть осторожным. Дело в том, что западные продукты следуют международным стандартам (в частности, ISO 17799 и некоторым другим). Согласно им все данные делятся по трем типам: открытые, конфиденциальные и строго конфиденциальные. Между тем в нашей стране согласно действующему законодательству используется несколько иное разграничение: открытая информация, для внутреннего использования и конфиденциальная.

Под открытой подразумевается любая информация, которая может свободно передаваться другим лицам, а также размещаться в средствах массовой информации. Чаще всего она представляется в виде пресс-релизов, выступлений на конференциях, презентациях и выставках, отдельных (естественно, положительных) элементов статистики. Помимо этого, к данному грифу относятся все данные, полученные из открытых внешних источников. Ну и, естественно, информация, предназначенная для корпоративного веб-сайта, тоже считается публичной.

На первый взгляд кажется, что открытая информация не нуждается в защите. Однако люди забывают, что данные можно не только похитить, но и подменить. А поэтому сохранение целостности открытой информации - очень важная задача. Иначе вместо заранее подготовленного пресс-релиза может получиться непонятно что. Или главная страница корпоративного сайта будет подменена оскорбительными надписями. Так что открытая информация тоже нуждается в защите.

Как и любое другое предприятие, общество имеет открытую информацию, содержащуюся в основном в презентациях демонстрируемых возможным инвесторам.

К информация для внутреннего использования относятся любые данные, которые используются сотрудниками для осуществления своих профессиональных обязанностей. Но это еще не все. К этой категории относится вся информация, которой обмениваются между собой различные подразделения или филиалы для обеспечения своей работоспособности. И, наконец, последний тип данных, попадающих под эту категорию данных, - информация, полученная из открытых источников и подвергнутая обработке (структурированию, редактированию, внесению пояснений).

Фактически вся эта информация, даже попав в руки конкурентов или злоумышленников, не может нанести серьезного вреда компании. Однако некоторый ущерб от ее похищения все-таки может быть. Допустим, сотрудники собрали для своего начальника новости по интересующей его теме, среди которых выбрали самые важные сообщения и пометили их. Такой дайджест явно является информацией для внутреннего использования (информация получена из открытых источников и подвергнута обработке). На первый взгляд кажется, что конкуренты, заполучив его, не смогут извлечь из него пользы. Но на самом деле они могут догадаться, какое направление деятельности интересует руководство вашей компании, и, кто знает, может быть, у них даже получится опередить вас. А поэтому информация для внутреннего использования должна быть защищена не только от подмены, но и от несанкционированного доступа. Правда, в подавляющем большинстве случаев можно ограничиться безопасностью локальной сети, потому что тратить крупные суммы на это экономически невыгодно.

На предприятии представлен и этот вид информации, которая содержится в различного рода отчетах, списках, выписках и т.п.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, не являющаяся общедоступной и в случае разглашения способная нанести ущерб правам и охраняемым законом интересам предоставившего ее лица. Перечень данных, относящихся к этому грифу, устанавливается государством. На данный момент он таков: персональная информация, информация, составляющая коммерческую, служебную или профессиональную тайну, сведения, являющиеся тайной следствия и делопроизводства. Кроме того, в последнее время к конфиденциальным стали относить данные о сущности изобретения или научного открытия до их официального опубликования.

К конфиденциальной информации на предприятии можно отнести такие данные как: план развития, научно-исследовательские работы, техническая документация, чертежи, распределение прибыли, договора, отчеты, ресурсы, партнеры, переговоры, контракты, а также информация управленческого и планового характера.

На предприятии имеется порядка двадцати ПК. Что же касается наличия локальной сети на предприятии, то ПК в обществе не объединены в единую сеть. Кроме того, все компьютеры оснащены стандартным набором офисных программ и бухгалтерских программ. Три компьютера имеют выход в Интернет через Минипорт WAN. При этом ни один компьютер на предприятии не оснащен антивирусной программой. Обмен информацией осуществляется посредством носителей: флешек, дискет. Вся информация на «традиционных» носителях расположена в шкафах, которые не запираются. Наиболее важные документы располагаются в сейфе, ключи от которого хранятся у секретаря.

информация защита безопасность

1.3 Угрозы и средства защиты информации на предприятии

Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее

По способам воздействия на объекты информационной безопасности угрозы, актуальные для общества, подлежат следующей классификации: информационные, программные, физические, организационно-правовые.

К информационным угрозам относятся:

· несанкционированный доступ к информационным ресурсам;

· хищение информации из архивов и баз данных;

· нарушение технологии обработки информации;

· противозаконный сбор и использование информации;

К программным угрозам относятся:

· компьютерные вирусы и вредоносные программы;

К физическим угрозам относятся:

· уничтожение или разрушение средств обработки информации и связи;

· хищение носителей информации;

· воздействие на персонал;

К организационно-правовым угрозам относятся:

· закупки несовершенных или устаревших информационных технологий и средств информатизации;

Средства защиты информации -- это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

Рассмотрим средства защиты информации, применяемые на предприятии. Всего их существует четыре (аппаратные, программные, смешанные, организационные).

Аппаратные средства защиты - замки, решетки на окнах, защитная сигнализация, сетевые фильтры, камеры видеонаблюдения.

Программные средства защиты: используются средства операционной системы, такие как защита, паролем, учетные записи.

Организационные средства защиты: подготовка помещений с компьютерами.

2 Совершенствование системы информационной безопасности

2.1 Выявленные недостатки в системе защиты информации

Самым уязвимым местом в защите информации в обществе является защита компьютерной безопасности. В ходе даже поверхностного анализа на предприятии можно выделить следующие недостатки:

§ Редко производится резервное копирование информации;

§ Недостаточный уровень программных средств защиты информации;

§ Некоторые сотрудники имеют недостаточный навык владения ПК;

§ Не ведется контроль за сотрудниками. Часто работники могут уйти с места работы, не отключив свой ПК и имея при себе флеш-носитель со служебной информацией.

§ Отсутствие нормативных документов по информационной безопасности.

§ Не на всех компьютерах используются средства ОС, такие как пароли и учетные записи.

2.2 Цели и задачи формирования системы ИБ на предприятии

Главной целью системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов предприятия от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов.

Задачи формирования системы информационной безопасности в организации являются: целостность информации, достоверность информации и ее конфиденциальность. При выполнении поставленных задач, цель будет реализована.

Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах:

Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.

Принцип непрерывного развития системы. Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа.

Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление, как пользователям, так и самим работникам ИС, минимума строго определенных полномочий, достаточных для выполнения ими своих служебных обязанностей.

Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации.

Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.

Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

Обеспечение всевозможных средств борьбы с вредоносными программами.

Обеспечение экономической целесообразности использования системы защиты, что выражается в превышении возможного ущерба ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.

2.3 Предлагаемые мероприятия по улучшению системы информационной безопасности организации

Выявленные недостатки на предприятии требуют их устранения, поэтому предлагается проведение следующих мероприятий.

§ Регулярное резервное копирование БД с личными данными сотрудников общества, с бухгалтерскими данными и др. баз, имеющихся на предприятии. Это предотвратит потерю данных из-за сбоев дисков, отключения электропитания, воздействия вирусов и других случайностей. Тщательное планирование и регулярное проведение процедур резервного копирования позволяет при потере данных быстро их восстановить.

§ Использование средств ОС на каждом компьютере. Создание учетных записей для специалистов и регулярная смена пароля для этих учетных записей.

§ Обучение персонала предприятия работе с компьютерами. Необходимое условие для правильной работы на рабочих станциях и предотвращения потери и повреждения информации. От навыков владения ПК персоналом зависит работа всего предприятия, в плане правильности выполнения.

§ Установка на компьютеры антивирусных программ таких как: Avast, NOD, Doctor Web и т.п. Это позволит избежать заражение компьютеров различными вредоносными программами, называемыми вирусы. Что очень актуально для данного предприятия, так как несколько ПК имеет доступ в Интернет и сотрудники для обмена информацией пользуются флеш-носителями.

§ Ведение контроля за сотрудниками, с помощью видеокамер. Это позволит сократить случаи халатного обращения с оборудованием, риск краж оборудования и их порчи, а также позволит контролировать «вынос» служебной информации с территории общества.

§ Разработка нормативного документа «Меры защиты информации в ООО «Овен» и ответственность за их нарушения», который бы соответствовали действующему законодательству РФ и определит риски, нарушения и ответственность за эти нарушения (штрафы, наказания). А также внесения соответствующей графы в трудовой договор общества, что он ознакомлен и обязуется выполнять положения данного документа.

2.4 Эффективность предложенных мероприятий

Предложенные мери несут в себе не только положительные моменты, такие как устранение основных проблем на предприятии, касающихся информационной безопасности. Но при этом они потребуют дополнительных вложений на обучение персонала, разработку нормативных документов, касающихся политики безопасности. Потребует дополнительных затрат труда и не исключат стопроцентно риски. Всегда будет иметь место человеческий фактор, форс-мажорные обстоятельства. Но если такие меры не предпринять затраты на восстановление информации, потерянные возможности по стоимости превзойдут те затраты, что требуются для разработки системы безопасности.

Рассмотрим результаты предложенных мер:

1. Повышения надежности системы ИБ организации;

2. Повышение уровня владения ПК персонала;

3. Уменьшен риск потери информации;

4. Наличие нормативного документа определяющего политику безопасности.

5. Возможно, уменьшит риск внесения/вынесения информации с предприятия.

3 Модель информационной безопасности

Представленная модель информационной безопасности (рисунок 2) - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Рисунок 2 - Модель системы информационной безопасности

Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 "Информационная технология - методы защиты - критерии оценки информационной безопасности", стандарту ISO/IEC 17799 "Управление информационной безопасностью", и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам информационной безопасности.

Выводы и предложения

Информационная эра привела к драматическим изменениям в способе выполнения своих обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел.

Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Все увеличивается число компьютерных преступлений, что может привести, в конечном счете, к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.

И так как автоматизация привела к тому, что теперь операции с вычислительной техникой выполняются простыми служащими организации, а не специально подготовленным техническим персоналом, нужно, чтобы конечные пользователи знали о своей ответственности за защиту информации.

Единого рецепта, обеспечивающего 100% гарантии сохранности данных и надёжной работы сети не существует. Однако создание комплексной, продуманной концепции безопасности, учитывающей специфику задач конкретной организации, поможет свести риск потери ценнейшей информации к минимуму. Компьютерная защита - это постоянная борьба с глупостью пользователей и интеллектом хакеров.

В заключение хочется сказать о том, что защита информации не ограничивается техническими методами. Проблема значительно шире. Основной недостаток защиты - люди, и поэтому надежность системы безопасности зависит в основном от отношения к ней служащих компании. Помимо этого, защита должна постоянно совершенствоваться вместе с развитием компьютерной сети. Не стоит забывать, что мешает работе не система безопасности, а ее отсутствие.

Так же хотелось бы, подводя итоги данного курсового проекта, отметить, что, проанализировав систему ИБ предприятия «Овен» были выявлены пять недостатков. После поиска были найдены решения по их устранению, эти недостатки могут быть исправлены, что улучшит ИБ предприятия в целом.

В ходе вышеописанных действий, отрабатывались практические и теоретические навыки изучения системы ИБ, следовательно, цель курсового проекта достигнута. Благодаря найденным решениям, можно сказать, что все задачи проекта были выполнены.

Список литературы

1. ГОСТ 7.1-2003. Библиографическая запись. Библиографическое описание. Общие требования и правила составления (М. : Изд-во стандартов, 2004).

2. Галатенко, В.А. «Основы информационной безопасности». - М.:«Интуит», 2003.

3. Завгородний, В. И. «Комплексная защита информации в компьютерных системах». - М.: «Логос», 2001.

4. Зегжда, Д.П., Ивашко, А.М. «Основы безопасности информационных систем».

5. Носов, В.А. Вводный курс по дисциплине “Информационная безопасность”.

6. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Размещено на Allbest.ru

Подобные документы

Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.

курсовая работа , добавлен 03.02.2011


Общие сведения о деятельности предприятия. Объекты информационной безопасности на предприятии. Меры и средства защиты информации. Копирование данных на сменный носитель. Установка внутреннего Backup-сервера. Эффективность совершенствования системы ИБ.

контрольная работа , добавлен 29.08.2013


Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

реферат , добавлен 15.11.2011


Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.

реферат , добавлен 20.01.2014


Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

дипломная работа , добавлен 19.12.2012


Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.

курсовая работа , добавлен 14.06.2015


Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.

дипломная работа , добавлен 17.11.2012


Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.

дипломная работа , добавлен 31.10.2016


Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

курсовая работа , добавлен 07.10.2016


Задачи, структура, физические, программные и аппаратные меры защиты информационной системы. Типы и причины компьютерных преступлений, пути усовершенствования политики безопасности организации. Назначение и основные функции папки "Дневник" MS Outlook 97.

ПРАВОВЫЕ ПРОБЛЕМЫ ИСПОЛЬЗОВАНИЯ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ И СОВЕРШЕНСТВОВАНИЕ ЗАКОНОДАТЕЛЬСТВА

СОВЕРШЕНСТВОВАНИЕ ИНСТИТУЦИОНАЛЬНОГО МЕХАНИЗМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РФ

IMPROVING THE INSTITUTIONAL MECHANISM FOR ENSURING THE INFORMATION SECURITY OF THE RUSSIAN FEDERATION

© Коблова Юлия Александровна

Yuliya A. Koblova

кандидат экономических наук, доцент кафедры институциональной экономики и экономической безопасности, Саратовский социально-экономический институт (филиал) ФГБОУ ВПО «РЭУ им. Г.В. Плеханова»

Cand.Sc. (Economics), associate professor at the department of institutional economics, Saratov socio-economic institute (branch) of Plekhanov Russian University of Economics

e-mail: sovcova_yulya@rambler.ru

В статье исследуются институциональные аспекты обеспечения информационной безопасности государства. Раскрыта сущность и роль институционального механизма в обеспечении информационной безопасности государства. Дана оценка институциональному обеспечению информационной безопасности в России. Выделены проблемы и предложена система мер по совершенствованию институционального механизма обеспечения информационной безопасности страны.

Ключевые слова: институты, институциональный механизм, информационная безопасность, интернет-пространство.

The paper examines the institutional aspects of ensuring information security of the state. The author reveals the essence and role of institutional mechanism in ensuring state information security, evaluates the institutional mechanism of ensuring information security in Russia, highlights major challenges, and suggests a system of measures to improve the institutional mechanism to ensure information security.

Keywords: institutions, institutional mechanisms, information security, internet space.

Обеспечение информационной безопасности государства - это достаточно новая государственная функция с еще не установившимся объемом и содержанием методов и инстру-

ментов. Ее формирование обусловлено необходимостью защиты общества и государства от информационных угроз, связанных с развитием новейших информационно-коммуникаци-

онных технологий. Масштабы негативных последствий этих угроз для государств, организаций, людей уже осознаны мировым сообществом, поэтому важнейшей задачей государства является разработка системы мер по их предотвращению и нейтрализации. Немаловажную роль в достижении информационной безопасности государства играет институциональный механизм ее обеспечения. Эффективность институциональной системы, реализующей общественные интересы, является залогом их гармонизации в целях обеспечения высших государственных интересов, в том числе национальной и информационной безопасности.

Напомним, что институты - это порожденные человеческим сознанием и опытом правила взаимодействий («правила игры») в обществе, ограничения и предпосылки развития в политике, социальной сфере и экономике. Институтами, поддерживающими долговременный экономический рост, являются законы и правила, формирующие побудительные мотивы и механизмы. Институты задают систему положительных и отрицательных стимулов, снижают неопределенность и делают социальную среду более предсказуемой. Институты, гарантирующие информационную безопасность, известны: верховенство закона, независимый и компетентный суд, отсутствие коррупции и др.

Институциональный механизм обеспечения информационной безопасности представляет собой особую структурную составляющую хозяйственного механизма, обеспечивающую создание норм и правил, регулирующих взаимодействие различных экономических субъектов в информационной сфере по предотвращению угроз информационной безопасности. Институциональный механизм приводит в действие институты (формальные и неформальные), структурирует взаимодействия субъектов, осуществляет контроль над соблюдением установленных норм и правил.

Сущность институционального механизма проявляется через его функции. О.В. Иншаков и Н.Н. Лебедева считают, что институциональный механизм выполняет следующие функции, которые применимы и к механизму обеспечения информационной безопасности:

1) интеграция агентов в один институт с целью осуществления совместной деятельности в рамках общих статусов и норм;

2) дифференцирование норм и статусов, а также субъектов и агентов разных институтов на разделяющие и игнорирующие их требования; регламентация взаимодействия институ-

та и его агентов в соответствии с установленными требованиями;

3) осуществление перевода новых требований в реальную практику;

4) обеспечение воспроизводства рутинных инноваций;

5) субординация и координация отношений между субъектами, которые принадлежат к разным институтам;

6) информирование субъектов о новых нормах и об оппортунистическом поведении;

7) регулирование деятельности субъектов, разделяющих и отвергающих требования, определенные институтом;

8) контроль за выполнением норм, правил и соглашений .

Таким образом, институциональный механизм обеспечения информационной безопасности включает законодательную основу и обеспечивающие ее институциональные структуры. Совершенствование данного механизма включает в себя реорганизацию законодательной основы информационной безопасности и институциональных структур противодействия угрозам информационной безопасности.

В институциональный механизм обеспечения информационной безопасности входит: принятие новых законов, которые учитывали бы интересы всех субъектов информационной сферы; соблюдение баланса созидательной и ограничительной функций законов в информационной сфере; интеграция России в мировое правовое пространство; учет состояния сферы отечественных информационных технологий.

К настоящему времени в России сформирована законодательная база в области информационной безопасности, включающая:

1. Законы Российской Федерации: Конституция РФ, «О безопасности»; «Об органах Федеральной службы безопасности в Российской Федерации», «О государственной тайне», «О внешней разведке», «Об участии в международном информационном обмене», «Об информации, информационных технологиях и о защите информации», «Об электронно-цифровой подписи» и др.

2. Нормативно-правовые акты Президента Российской Федерации: Доктрина информационной безопасности РФ; Стратегия национальной безопасности Российской Федерации до 2020 года, «Об основах государственной политики в сфере информатизации», «О перечне сведений, отнесенных к государственной тайне» и др.

3. Нормативные правовые акты Правительства Российской Федерации: «О сертификации

средств защиты информации», «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», «О лицензировании отдельных видов деятельности» и др.

4. Гражданский кодекс РФ (часть четвертая).

5. Уголовный кодекс Российской Федерации.

За последние годы в России реализован

комплекс мер по совершенствованию обеспечения ее информационной безопасности. Реализованы мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов РФ, на предприятиях, в учреждениях и организациях независимо от формы собственности. Ведутся работы по защите специальных информационно-телекоммуникационных систем. Эффективному решению проблем информационной безопасности РФ способствуют государственная система защиты информации, система защиты государственной тайны и системы сертификации средств защиты информации.

Государственная техническая комиссия при Президенте РФ проводит единую техническую политику и координирует работы в сфере защиты информации, стоит во главе государственной системы защиты информации от технических разведок и обеспечивает защиту информации от утечки по техническим каналам на территории России, отслеживает эффективность принимаемых мер защиты.

Важную роль в системе информационной безопасности страны играют государственные и общественные организации: они осуществляют контроль за государственными и негосударственными средствами массовой информации.

Вместе с тем уровень информационной безопасности России не в полной мере соответствует потребностям общества и государства. В условиях информационного общества обостряются противоречия между общественной потребностью в расширении и свободе обмена информацией, с одной стороны, и необходимостью сохранить отдельные регламентированные ограничения на ее распространение.

В настоящее время отсутствует институциональное обеспечение закрепленных в Конституции РФ прав граждан в информационной сфере (на неприкосновенность частной жизни, личную тайну, тайну переписки и др.). Остав-

ляет желать лучшего защита персональных данных, которые собираются федеральными органами власти.

Отсутствует четкость проведения политики государства в сфере формирования информационного пространства РФ, средств массовой информации, международного информационного обмена и интеграции России в мировое информационное пространство.

Совершенствование институционального механизма информационной безопасности государства, на наш взгляд, должно быть направлено на решение следующих важных проблем.

Слабая практическая направленность современного российского законодательства в информационной сфере создает проблемы правового и методологического характера. Высказываются мнения о том, что Доктрина информационной безопасности РФ не имеет прикладного значения, содержит множество неточностей и методологических ошибок. Так, объектами информационной безопасности в Доктрине признаются интересы, личность, общество, государство - понятия, не сопоставимые между собой. Многие ученые обращали внимание на недопустимость принятия в качестве объекта информационной безопасности защиты интересов, а не их носителей .

Применение этих категорий, содержание которых неопределенно, в законодательном документе не вполне неуместно . Например, субъекты права - это юридические и физические лица, организации, лица без гражданства, исполнительные органы власти. Категория «государство» включает в себя территорию страны, ее население (нации), политическую власть, конституционный строй.

В Доктрине информационной безопасности РФ источниками угроз информационной безопасности признается:

Деятельность иностранных структур;

Разработка концепций информационных войн рядом государств;

Стремление ряда стран к доминированию и др.

По мнению Г. Атаманова, источником может являться объект или субъект, принимающий участие в информационном процессе или способный повлиять на него в той или иной мере. Например, в американском законодательстве источники угроз информационной инфраструктуры включают: хакеров, настроенных против США; террористические группы; государства, против которых может быть направлена антитеррористическая операция;

хакеров, любопытствующих или самоутверждающихся .

Недостатки и рамочный характер Доктрины снижают эффективность и ограничивают сферу ее применения, задают неверное направление развития законодательства в информационной сфере и все больше запутывают его.

Для должного обеспечения информационной безопасности необходимо создание соответствующей системы правовых отношений, что, в свою очередь, невозможно без пересмотра категориального аппарата, доктринально-го и концептуального фундамента законодательства в информационной сфере.

2. Разрыв между законодательством и практикой в информационной сфере.

Огромная пропасть между законодательством и практикой в информационной сфере объективно существует из-за стремительности и масштабности развития информационных технологий и Интернета, мгновенно порождающих новые угрозы. Законодательный процесс, наоборот, долог и тернист. Поэтому в современных условиях необходимы механизмы, позволяющие согласовать разработку законов с реалиями развития информационных технологий и информационного общества. Важно, чтобы отставание не было слишком большим, так как это чревато снижением или потерей информационной безопасности.

Преодоление разрыва между практикой и законодательством в информационной сфере необходимо для снижения и нейтрализации угроз информационной безопасности, возникающих из-за опережения развития информационных технологий и возникновения вакуума в законодательстве.

3. Отсутствие наднациональных институтов, гарантирующих информационную безопасность.

Невозможно противостоять преступлениям, совершаемым в Интернете, силами одной страны. Запретительные меры, вводимые на национальном уровне, не будут действенными, так как нарушители могут находиться за границей. Для борьбы с ними необходима консолидация усилий на международном уровне и принятие международных правил поведения в интернет-пространстве. Подобные попытки предпринимались. Так, Будапештская конвенция Совета Европы допускала преследование нарушителей на территории другого государства без предупреждения его властей. Именно поэтому многие страны сочли неприемлемым ратифицировать данный документ.

Модельный закон «Об основах регулирования Интернета», одобренный на пленарном

заседании Межпарламентской Ассамблеи государств - участников СНГ, устанавливает порядок государственной поддержки и регулирования Интернета, а также правила определения места и времени совершения юридически значимых действий в сети. Кроме того, в законе регламентируется деятельность и ответственность операторов услуг.

Необходимо отметить и ратификацию документа, разрешающего обмен конфиденциальной информацией на территории России, Беларуси и Казахстана. Речь идет о протоколе, который определяет порядок предоставления сведений, содержащих конфиденциальную информацию, для расследований, предшествующих введению специальных защитных, антидемпинговых и компенсационных мер по отношению к третьим странам. Это очень важное соглашение государств - участников Таможенного союза, которое позволяет совместно выработать и отстроить защитные антидемпинговые и компенсационные меры. Таким образом, на сегодняшний день организована прочная нормативная база, которая создает принципиально новый наднациональный орган, уполномоченный не только проводить расследования, собирать доказательственную базу, но и защищать ее от утечек, определяя порядок предоставления.

Формирование наднациональных институтов в информационной сфере позволит преодолеть ограниченность национальных законодательств в борьбе с информационными преступлениями.

4. Отсутствие институтов интернет-пространства.

В настоящее время в международном праве должны появиться такие новые институты, регулирующие взаимодействие субъектов в интернет-пространстве, как «электронная граница», «электронный суверенитет», «электронное налогообложение» и другие. Это будет способствовать преодолению латентного характера киберпреступности, т.е. увеличению раскрываемости киберпреступлений.

5. Развитие частно-государственного партнерства в информационной сфере.

В связи со стремлением правительственных организаций публиковать отчеты о состоянии своей системы информационной безопасности возникает интересная дилемма. С одной стороны, эти публикации отражают усилия государства по поддержанию системы кибербезопасности на должной высоте. Казалось бы, такой результат должен вести к более эффективной структуре расходов на кибербе-зопасность. Но, с другой стороны, публикация информации о недостатках системы кибербе-

Научно-практический журнал. ISSN 1995-5731

зопасности государственных организаций с большей вероятностью делает их уязвимыми для атак хакеров, что влечет за собой потребность в большем количестве ресурсов для их отражения и предотвращения.

Самой большой проблемой в обеспечении сотрудничества и обмена информацией, связанной с безопасностью, между государственными агентствами и корпорациями Гордон и Лоеб считают проблему «безбилетничества» (//тее-^ет). Казалось бы, поскольку безопасность компьютерных сетей зависит от действий каждого участника, подобное сотрудничество является оптимальным способом увеличить эффективность средств, затрачиваемых на обеспечение кибербезопасности. Успешный обмен информацией и опытом в области кибербезопасности мог бы дать возможность координировать такую деятельность на национальном и международном уровнях. Но в реальности боязнь фирмы потерять конкурентные преимущества, участвуя в подобном сетевом сотрудничестве и предоставляя полную информацию о себе, приводит к укло-

нению от предоставления полной информации. Изменить ситуацию здесь может только развитие государственно-частного партнерства на основе введения достаточно значимых экономических стимулов.

Таким образом, институциональный механизм обеспечения информационной безопасности государства предполагает формирование законодательных основ и институциональных структур, ее обеспечивающих. Для совершенствования институционального механизма и формирования новой архитектуры экономической безопасности в условиях информационной экономики предложена система мер, включающая: преодоление декларативного характера законодательства и сокращение разрыва между законодательством и практикой в информационной сфере, формирование наднационального законодательства в информационной сфере, создание новых институтов, определяющих рамки взаимодействия и правил поведения в интернет-пространстве.

Библиографический список (References)

1. Иншаков О.В., Лебедева Н.Н. Хозяйственный и институциональный механизмы: соотношение и взаимодействие в условиях социально-рыночной трансформации российской экономики // Вестник С.-Петерб. гос. унта. Сер. 5. 2008. Вып. 4 (№ 16).

2. Дзлиев М.И., Романович А.Л., Урсул А.Д. Проблемы безопасности: теоретико-методологические аспекты. М., 2001.

3. Атаманов Г. А. Информационная безопасность в современном российском обществе (социально-философский аспект): дис. ... канд. филос. наук. Волгоград, 2006.

4. Кононов А. А., Смолян Г. Л. Информационное общество: общество тотального риска или общество гарантированной безопасности? // Информационное общество. 2002. № 1.

1. Inshakov O.V., Lebedeva N.N. (2008) Khozyaystvennyy i institutsional"nyy mekhaniz-my: sootnosheniye i vzaimodeystviye v usloviyakh sotsial"no-rynochnoy transformatsii rossiyskoy ekonomiki // Vestnik S.-Peterb. gos. un-ta. Ser. 5. Vyp. 4 (№ 16).

2. Dzliyev M.I., Romanovich A.L., Ursul A.D. (2001) Problemy bezopasnosti: teoretiko-metodologicheskiye aspekty . M.

3. Atamanov G.A. (2006) Informatsionnaya bezopasnost" v sovremennom rossiyskom ob-shchestve (sotsial"no-filosofskiy aspekt) . Volgograd.

4. Kononov A.A., Smolyan G.L. (2002) In-formatsionnoye obshchestvo: obshchestvo total"nogo riska ili obshchestvo garantirovannoy bezopasnosti? // Informat-sionnoye obshchestvo. № 1.

Предпринимаемые меры защиты должны быть адекватны вероятности осуществления данного типа угрозы и потенциальному ущербу, который может быть нанесен в том случае, если угроза осуществится (включая затраты на защиту от нее).

Необходимо иметь в виду, что многие меры защиты требуют достаточно больших вычислительных ресурсов, что в свою очередь существенно влияет на процесс обработки информации. Поэтому современный подход к решению этой проблемы заключается в применении в АСУ принципов ситуационного управления защищенностью информационных ресурсов. Суть такого подхода заключается в том, что требуемый уровень безопасности информации устанавливается в соответствии с ситуацией, определяющей соотношение между ценностью перерабатываемой информации, затратами (снижением производительности АСУ, дополнительным расходом оперативной памяти и др.), которые необходимы для достижения этого уровня, и возможными суммарными потерями (материальными, моральными и др.) от искажения и несанкционированного использования информации.

Необходимые характеристики защиты информационных ресурсов определяются в ходе ситуационного планирования при непосредственной подготовке технологического процесса защищенной обработки информации с учетом сложившейся ситуации, а также (в сокращенном объеме) во время процесса обработки. Выбирая защитные меры, приходится учитывать не только прямые расходы на закупку оборудования и программ, но и расходы на внедрение новинки, на обучение и переподготовку персонала. Важным обстоятельством является совместимость нового средства со сложившейся аппаратно-программной структурой объекта.

Зарубежный опыт в области защиты интеллектуальной собственности и отечественный опыт по защите государственных секретов показывают, что эффективной может быть только комплексная защита, сочетающая в себе такие направления защиты, как правовое, организационное и инженерно-техническое.

Правовое направление предусматривает формирование совокупности законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.

Организационное направление – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий.

По мнению специалистов, организационные мероприятия играют большую роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловлены не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

К организационным мероприятиям относятся:

Мероприятия, осуществляемые при проектировании, строительстве и оборудовании служебных и производственных зданий и помещений;

Мероприятия, осуществляемые при подборе персонала;

Организация и поддержание надежного пропускного режима, охраны помещений и территории, контроля за посетителями;

Организация хранения и использования документов и носителей конфиденциальной информации;

Организация защиты информации;

Организация регулярного обучения сотрудников.

Одним из основных компонентов организационного обеспечения информационной безопасности компании является Служба информационной безопасности (СИБ – орган управления системой защиты информации). Именно от профессиональной подготовленности сотрудников службы информационной безопасности, наличия в их арсенале современных средств управления безопасностью во многом зависит эффективность мер по защите информации. Ее штатная структура, численность и состав определяются реальными потребностями компании, степенью конфиденциальности ее информации и общим состоянием безопасности.

Основная цель функционирования СИБ, используя организационные меры и программно-аппаратные средства, – избежать или хотя бы свести к минимуму возможность нарушения политики безопасности, в крайнем случае, вовремя заметить и устранить последствия нарушения.

Для обеспечения успешной работы СИБ необходимо определить ее права и обязанности, а также правила взаимодействия с другими подразделениями по вопросам зашиты информации на объекте. Численность службы должна быть достаточной для выполнения всех возлагаемых на нее функций. Желательно, чтобы штатный состав службы не имел обязанностей, связанных с функционированием объекта защиты. Служба информационной безопасности должна быть обеспечена всеми условиями, необходимыми для выполнения своих функций.

Ядром инженерно-технического направления являются программно-аппаратные средства защиты информации, к которым относятся механические, электромеханические, электронные, оптические, лазерные, радио- и радиотехнические, радиолокационные и другие устройства, системы и сооружения, предназначенные для обеспечения безопасности и защиты информации.

Под программным обеспечением безопасности информации понимается совокупность специальных программ, реализующих функции защиты информации и режима функционирования.

Сформированная совокупность правовых, организационных и инженерно-технических мероприятий выливается в соответствующую политику безопасности.

Политика безопасности определяет облик системы защиты информации в виде совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений, направленных на противодействие угрозам для исключения или минимизации возможных последствий проявления информационных воздействий. После принятия того или иного варианта политики безопасности необходимо оценить уровень безопасности информационной системы. Естественно, что оценка защищенности производится по совокупности показателей, основными из которых являются стоимость, эффективность, реализуемость.

Оценить варианты построения системы защиты информации – задача достаточно сложная, требующая привлечения современных математических методов многопараметрической оценки эффективности. К ним относятся: метод анализа иерархий, экспертные методы, метод последовательных уступок и ряд других.

Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Только после этого можно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс анализа уязвимости с учетом изменений в системе защиты.

Сформированный возможный сценарий действий нарушителя требует проверки системы защиты информации. Такая проверка называется «тестированием на проникновение». Цель – предоставление гарантий того, что для неавторизованного пользователя не существует простых путей обойти механизмы защиты.

Один из возможных способов аттестации безопасности системы – приглашение хакеров для взлома без предварительного уведомления персонала сети. Для этого выделяется группа из двух-трех человек, имеющих высокую профессиональную подготовку. Хакерам предоставляется в распоряжение автоматизированная система в защищенном исполнении, и группа в течение 1–3 месяцев пытается найти уязвимые места и разработать на их основе тестовые средства для обхода механизмов защиты. Наемные хакеры представляют конфиденциальный доклад по результатам работы с оценкой уровня доступности информации и рекомендациями по улучшению защиты.

Наряду с таким способом используются программные средства тестирования.

На этапе составления плана защиты в соответствии с выбранной политикой безопасности разрабатывается план его реализации. План защиты является документом, вводящим в действие систему защиты информации, который утверждается руководителем организации. Планирование связано не только с наилучшим использованием всех возможностей, которыми располагает компания, в том числе выделенных ресурсов, но и с предотвращением ошибочных действий, могущих привести к снижению эффективности предпринятых мер по защите информации.

План защиты информации на объекте должен включать:

Описание защищаемой системы (основные характеристики защищаемого объекта: назначение объекта, перечень решаемых задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите, и требований по обеспечению доступа, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т. п.);

Цель защиты системы и пути обеспечения безопасности автоматизированной системы и циркулирующей в ней информации;

Перечень значимых угроз безопасности автоматизированной системы, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;

Политику информационной безопасности;

План размещения средств и функциональную схему системы защиты информации на объекте;

Спецификацию средств защиты информации и смету затрат на их внедрение;

Календарный план проведения организационных и технических мероприятий по защите информации, порядок ввода в действие средств защиты;

Основные правила, регламентирующие деятельность персонала по вопросам обеспечения информационной безопасности объекта (особые обязанности должностных лиц, обслуживающих автоматизированную систему);

Порядок пересмотра плана и модернизации средств защиты.

Пересмотр плана защиты осуществляется при изменении следующих компонентов объекта:

Архитектуры информационной системы (подключение других локальных сетей, изменение или модификация используемых средств вычислительной техники или ПО);

Территориального расположения компонентов автоматизированной системы.

В рамках плана защиты необходимо иметь план действий персонала в критических ситуациях, т. е. план обеспечения непрерывной работы и восстановления информации . Он отражает:

Цель обеспечения непрерывности процесса функционирования автоматизированной системы, восстановления ее работоспособности и пути ее достижения;

Перечень и классификацию возможных кризисных ситуаций;

Требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации, ведения текущих, долговременных и аварийных архивов; состав резервного оборудования и порядок его использования и т. п.);

Обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях, при ликвидации их последствий, минимизации наносимого ущерба и при восстановлении нормального функционирования системы.

Если организация осуществляет обмен электронными документами с партнерами по выполнению единых заказов, то необходимо в план защиты включить договор о порядке организации обмена электронными документами, в котором отражаются следующие вопросы:

Разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

Определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

Порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);

Порядка разрешения споров в случае возникновения конфликтов.

План защиты информации представляет собой пакет текстуально-графических документов, поэтому наряду с приведенными компонентами этого пакета в него могут входить:

Положение о коммерческой тайне, определяющее перечень сведений, составляющих коммерческую тайну, и порядок его определения, а также обязанности должностных лиц по защите коммерческой тайны;

Положение о защите информации, регламентирующее все направления деятельности по реализации политики безопасности, а также ряд дополнительных инструкций, правил, положений, соответствующих специфике объекта защиты.

Реализация плана защиты (управление системой защиты) предполагает разработку необходимых документов, заключение договоров с поставщиками, монтаж и настройку оборудования и т. д. После формирования системы защиты информации решается задача ее эффективного использования, т. е. управления безопасностью.

Управление – процесс целенаправленного воздействия на объект, осуществляемый для организации его функционирования по заданной программе.

Управление информационной безопасностью должно быть:

Устойчивым к активным вмешательствам нарушителя;

Непрерывным, обеспечивающим постоянное воздействие на процесс защиты;

Скрытым, не позволяющим выявлять организацию управления защитой информации;

Оперативным, обеспечивающим возможность своевременно и адекватно реагировать на действия злоумышленников и реализовывать управленческие решения к заданному сроку.

Кроме того, решения по защите информации должны быть обоснованными с точки зрения всестороннего учета условий выполнения поставленной задачи, применения различных моделей, расчетных и информационных задач, экспертных систем, опыта и любых других данных, повышающих достоверность исходной информации и принимаемых решений.

Показателем эффективности управления защитой информации является время цикла управления при заданном качестве принимаемых решений. В цикл управления входит сбор необходимой информации для оценки ситуации, принятие решения, формирование соответствующих команд и их исполнение. В качестве критерия эффективности может использоваться время реакции системы защиты информации на нарушение, которое не должно превышать времени устаревания информации исходя из ее ценности.

Как показывает разработка реальных АСУ, ни один из способов (мер, средств и мероприятий) обеспечения безопасности информации не является абсолютно надежным, а максимальный эффект достигается при объединении всех их в целостную систему защиты информации. Только оптимальное сочетание организационных, технических и программных мероприятий, а также постоянное внимание и контроль над поддержанием системы защиты в актуальном состоянии позволят с наибольшей эффективностью обеспечить решение постоянной задачи.

Методологические основы обеспечения информационной безопасности являются достаточно общими рекомендациями, базирующимися на мировом опыте создания подобных систем. Задача каждого специалиста по защите информации – адаптировать абстрактные положения к своей конкретной предметной области (организации, банку), в которой всегда найдутся свои особенности и тонкости.

Анализ отечественного и зарубежного опыта убедительно доказывает необходимость создания целостной системы информационной безопасности компании, увязывающей оперативные, оперативно-технические и организационные меры защиты. Причем система безопасности должна быть оптимальной с точки зрения соотношения затрат и ценности защищаемых ресурсов. Необходима гибкость и адаптация системы к быстро меняющимся факторам окружающей среды, организационной и социальной обстановке в учреждении. Достичь такого уровня безопасности невозможно без проведения анализа существующих угроз и возможных каналов утечки информации, а также без выработки политики информационной безопасности на предприятии. В итоге должен быть создан план защиты, реализующий принципы, заложенные в политике безопасности.

Но существуют и другие сложности и «подводные камни», на которые обязательно нужно обратить внимание. Это проблемы, выявленные на практике и слабо поддающиеся формализации: проблемы не технического или технологического характера, которые так или иначе решаются, а проблемы социального и политического характера.

Проблема 1. Отсутствие понимания у персонала и руководителей среднего и нижнего ранга необходимости проведения работ по повышению уровня информационной безопасности.

На этой ступеньке управленческой лестницы, как правило, не видно стратегических задач, стоящих перед организацией. Вопросы безопасности при этом могут вызывать даже раздражение – они создают «ненужные» трудности.

Часто приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

Появление дополнительных ограничений для конечных пользователей и специалистов подразделений, затрудняющее их пользование автоматизированной системой организации;

Необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.

Указанная проблема является одной из основных. Все остальные вопросы так или иначе выступают в качестве ее следствий. Для ее преодоления важно решить следующие задачи: во-первых, повысить квалификацию персонала в области защиты информации путем проведения специальных собраний, семинаров; во-вторых, повысить уровень информированности персонала, в частности, о стратегических задачах, стоящих перед организацией.

Проблема 2. Противостояние службы автоматизации и службы безопасности организаций.

Эта проблема обусловлена родом деятельности и сферой влияния, а также ответственности этих структур внутри предприятия. Реализация системы защиты находится в руках технических специалистов, а ответственность за ее защищенность лежит на службе безопасности. Специалисты службы безопасности хотят во что бы то ни стало ограничить при помощи межсетевых экранов весь трафик. Но люди, работающие в отделах автоматизации, не желают решать дополнительные проблемы, связанные с обслуживанием специальных средств. Такие разногласия не лучшим образом сказываются на уровне защищенности всей организации.

Решается эта проблема, как и большинство подобных, чисто управленческими методами. Важно, во-первых, иметь в организационной структуре фирмы механизм решения подобных споров. Например, обе службы могут иметь единое начальство, которое будет решать проблемы их взаимодействия. Во-вторых, технологическая и организационная документации должны четко и грамотно делить сферы влияния и ответственности подразделений.

Проблема 3. Личные амбиции и взаимоотношения на уровне руководителей среднего и высшего звена.

Взаимоотношения между руководителями могут быть разными. Иногда при проведении работ по исследованию информационной защищенности то или иное должностное лицо проявляет сверхзаинтересованность в результатах этих работ. Действительно, исследования – это достаточно сильный инструмент для решения их частных проблем и удовлетворения амбиций. Выводы и рекомендации, записанные в отчете, используются как план к дальнейшим действиям того или другого звена. Возможна также и «вольная» трактовка выводов отчета в сочетании с проблемой 5, описанной ниже. Такая ситуация является крайне нежелательным фактором, так как искажает смысл проведения работ и требует своевременного выявления и ликвидации на уровне высшего руководства предприятия. Наилучшим вариантом являются деловые взаимоотношения, когда во главу угла ставятся интересы организации, а не личные.

Проблема 4. Низкий уровень исполнения намеченной программы действий по созданию системы защиты информации.

Это достаточно банальная ситуация, когда стратегические цели и задачи теряются на уровне исполнения. Все может начинаться идеально. Генеральный директор принимает решение о необходимости совершенствования системы информационной безопасности. Нанимается независимая консалтинговая фирма, выполняющая аудит существующей системы защиты информации. По окончании формируется отчет, включающий все необходимые рекомендации по защите информации, доработке существующего документооборота в области информационной безопасности, по внедрению технических средств защиты информации и организационных мер, дальнейшей поддержке созданной системы. План защиты включает краткосрочные и долгосрочные мероприятия. Далее рекомендации передаются на исполнение в одно из подразделений. И здесь важно, чтобы они не утонули в болоте бюрократии, личных амбиций, нерасторопности персонала и десятке других причин. Исполнитель может быть плохо проинформирован, недостаточно компетентен или просто не заинтересован в выполнении работ. Важно, чтобы генеральный директор проконтролировал выполнение намеченного плана, дабы не потерять, во-первых, средства, вложенные в безопасность на начальном этапе, во-вторых, чтобы не понести потери в результате отсутствия этой безопасности.

Проблема 5. Низкая квалификация специалистов по защите информации.

Данный аспект можно не считать серьезным препятствием, если он не является преградой на пути создания системы защиты информации. Дело в том, что в план защиты, как правило, включается такое мероприятие, как повышение квалификации специалистов в области защиты информации в компании. Для специалистов других служб могут проводиться семинары по основам организации защиты информации. Нужно верно оценивать реальную квалификацию сотрудников, занимающихся исполнением плана защиты. Зачастую неверные выводы или неумение применять методы защиты на практике приводят к сложностям при реализации рекомендованных мероприятий. При намеке на такие обстоятельства самым правильным выходом будет повышение квалификации специалистов по защите информации в специально созданных для этого центрах обучения.

Таким образом, практическая деятельность в области повышения экономической и информационной безопасности наглядно демонстрирует, что создание реально действующей системы защиты информации оказывается в сильной зависимости от своевременного решения перечисленных проблем. Однако накопленный опыт показывает, что все рассмотренные вопросы успешно решаются при условии плотной совместной работы представителей заказчика и компании-исполнителя. Главное – осознать важность проведения таких работ, своевременно выявить существующие угрозы и применить адекватные меры противодействия, которые, как правило, специфичны для каждого конкретного предприятия. Наличие желания и возможностей является достаточным условием для плодотворной работы, целью которой стало бы создание комплексной системы обеспечения безопасности организации.