Тема 8: Организационная структура системы обеспечения информационной безопасности

Цели создания системы обеспечения информационной безопасности

Конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Основной задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами.

Обеспечение информационной безопасности - это непрерывный процесс, основное содержание которого составляет управление, - управление людьми, рисками, ресурсами, средствами защиты и т.п. Люди - обслуживающий персонал и конечные пользователи АС, - являются неотъемлемой частью автоматизированной (то есть «человеко-машинной») системы. От того, каким образом они реализуют свои функции в системе, существенно зависит не только ее функциональность (эффективность решения задач), но и ее безопасность.

Рис. 2.8.1 Субъекты, влияющие на состояние информационной безопасности

сотрудников структурных подразделений (конечных пользователей АС), решающих свои функциональные задачи с применением средств автоматизации;

программистов, осуществляющих разработку (приобретение и адаптацию) необходимых прикладных программ (задач) для автоматизации деятельности сотрудников организации;

сотрудников подразделения внедрения и сопровождения ПО, обеспечивающих нормальное функционирование и установленный порядок инсталляции и модификации прикладных программ (задач);

сотрудников подразделения эксплуатации ТС, обеспечивающих нормальную работу и обслуживание технических средств обработки и передачи информации и системного программного обеспечения;

системных администраторов штатных средств защиты (ОС, СУБД и т.п.);

сотрудников подразделения защиты информации, оценивающих состояние информационной безопасности, определяющих требования к системе защиты, разрабатывающих организационно-распорядительные документы по вопросам ОИБ (аналитиков), внедряющих и администрирующих специализированные дополнительные средства защиты (администраторов безопасности);

руководителей организации, определяющих цели и задачи функционирования АС, направления ее развития, принимающих стратегические решения по вопросам безопасности и утверждающих основные документы, регламентирующие порядок безопасной обработки и использования защищаемой информации сотрудниками организации.

Кроме того, на информационную безопасность организации могут оказывать влияние посторонние лица и сторонние организации, предпринимающие попытки вмешательства в процесс нормального функционирования АС или несанкционированного доступа к информации как локально, так и удаленно.

Регламентация действий пользователей и обслуживающего персонала АС

Обслуживающий персонал и пользователи, как неотъемлемая часть АС, сами являются источником внутренних угроз информационной безопасности организации и одновременно могут являться частью системы защиты АС. Поэтому одним из основных направлений ОИБ является регламентация действий всех пользователей и обслуживающего персонала АС, целями которой являются:

• сокращение возможностей лиц из числа пользователей и персонала по совершению нарушений (как неумышленных, так и преднамеренных);

• реализацию специальных мер противодействия другим внутренним и внешним для системы угрозам (связанным с отказами и сбоями оборудования, ошибками в программах, стихийными бедствиями и действиями посторонних лиц, не являющихся частью АС).

Кроме того, чтобы персонал и пользователи как часть системы безопасности АС реализовали свои «защитные возможности», регламентации подлежат вопросы исполнения ими дополнительных специальных обязанностей (функций), связанных с усилением режима информационной безопасности. Так, для зашиты от действий посторонних лиц и «подкрепления» вводимых ограничений на действия своих сотрудников на компьютерах АС могут применяться средства защиты, работающие на физическом, аппаратном или программном уровне. Применение таких средств защиты требует регламентации вопросов их использования конечными пользователями и процессов их администрирования сотрудниками подразделений автоматизации и обеспечения информационной безопасности.

С учетом всего сказанного выше, можно сделать вывод: к обеспечению безопасности информационных технологий организации (и в определенной степени к управлению ее информационной безопасностью) должны привлекаться практически все сотрудники, участвующие в процессах автоматизированной обработки информации, и все категории обслуживающего АС персонала.

За формирование системы защиты и реализацию единой политики информационной безопасности организации и осуществление контроля и координации действий всех подразделений и сотрудников организации по вопросам ОИБ должно непосредственно отвечать специальное подразделение (служба) защиты информации (обеспечения информационной безопасности).

В силу малочисленности данного подразделения решение им многих процедурных вопросов и эффективный контроль за соблюдением всеми сотрудниками требований по ОИБ возможны только при назначении во всех подразделениях, эксплуатирующих подсистемы АС, нештатных помощников - ответственных за обеспечение информационной безопасности.

Эффективное использование штатных (для ОС и СУБД) и дополнительных средств защиты обеспечивается системными администраторами и администраторами средств защиты. Системные администраторы обычно входят в штат подразделений автоматизации (информатизации). Администраторы дополнительных средств защиты, как правило, являются сотрудниками подразделения защиты информации.

Таким образом, организационную структуру системы обеспечения информационной безопасности АС организации можно представить в виде, совокупности следующих уровней:

  • уровень 1 - Руководство организации
  • уровень 2 - Подразделение ОИБ
  • уровень 3 - Администраторы штатных и дополнительных средств защиты
  • уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках)
  • уровень 5 - Конечные пользователи и обслуживающий персонал

 

Понятие технологии обеспечения информационной безопасности

Под технологией обеспечения информационной безопасности в АС понимается определенное распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников (должностных лиц) организации по обеспечению комплексной защиты ресурсов АС в процессе ее эксплуатации.

Требования к технологии управления безопасностью:

• соответствие современному уровню развития информационных 4; технологий;

• учет особенностей построения и функционирования различных подсистем АС;

• точная и своевременная реализация политики безопасности организации;

• минимизация затрат на реализацию самой технологии обеспечения безопасности.

Для реализации технологии обеспечения безопасности в АС необходимо:

• наличие полной и непротиворечивой правовой базы (системы взаимоувязанных нормативно - методических и организационно -распорядительных документов) по вопросам ОИБ;

• распределение функций и определение порядка взаимодействия

подразделений и должностных лиц организации по вопросам ОИБ на всех

этапах жизненного цикла подсистем АС, обеспечивающее четкое разделение их полномочий и ответственности;

• наличие специального органа (подразделения защиты информации, обеспечения информационной безопасности), наделенного необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики информационной безопасности организации и осуществляющего контроль и координацию действий всех подразделений и сотрудников организации по вопросам ОИБ.

Реализация технологии ОИБ предполагает:

• назначение и подготовку должностных лиц (сотрудников), ответственных за организацию, реализацию функций и осуществление конкретных практических мероприятий по обеспечению безопасности информации и процессов ее обработки;

• строгий учет всех подлежащих защите ресурсов системы (информации, ее носителей, процессов обработки) и определение требований к организационно-техническим мерам и средствам их защиты;

• разработку реально выполнимых и непротиворечивых организационно-распорядительных документов по вопросам обеспечения безопасности информации;

• реализацию (реорганизацию) технологических процессов обработки информации в АС с учетом требований по информационной безопасности;

• принятие эффективных мер сохранности и обеспечения физической целостности технических средств и поддержку необходимого уровня защищенности компонентов АС;

• применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывную административную поддержку их использования;

• регламентацию всех процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений, использующих АС, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе утвержденных организационно-распорядительных документов по вопросам обеспечения безопасности информации;

• четкое знание и строгое соблюдение всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;

• персональную ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;

• эффективный контроль за соблюдением сотрудниками подразделений -пользователями и обслуживающим АС персоналом, - требований по обеспечению безопасности информации;

• проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработку и реализацию предложений по совершенствованию системы защиты информации в АС.

Организационные (административные) меры регламентируют процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты

Организационные меры являются той основой, которая объединяет различные меры защиты в единую систему. Они включают:

• разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

• мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);

• периодически проводимые (через определенное время) мероприятия;

• постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия

К разовым мероприятиям относят:

• мероприятия по созданию нормативно-методологической базы (разработка концепции и других руководящих документов) защиты АС;

• мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);

• мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);

• проведение спецпроверок применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

• внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, технологические инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности ресурсов АС и действиям в случае возникновения кризисных ситуаций;

• создание подразделения защиты информации (компьютерной безопасности) и назначение нештатных ответственных за ОИБ в подразделениях и на технологических участках, осуществляющих организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации; разработка и утверждение их функциональных обязанностей;

• мероприятия по разработке политики безопасности, определение порядка назначения, изменения, утверждения и предоставления конкретным категориям сотрудников (должностным лицам) необходимых полномочий по доступу к ресурсам системы;

• мероприятия по созданию системы защиты АС и необходимой инфраструктуры (организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией, оборудование служебных помещений сейфами (шкафами) для хранения реквизитов доступа, средствами уничтожения бумажных и магнитных носителей конфиденциальной информации и т.п.);

• мероприятия по разработке правил разграничения доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием АС, а также используемых при их решении режимов обработки и доступа к данным;

• определение перечней файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требований к уровням их защищенности от НСД при передаче, хранении и обработке в АС;

• выявление наиболее вероятных угроз для данной АС, выявление уязвимых мест процессов обработки информации и каналов доступа к ней, оценка возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);

• организация охраны и надежного пропускного режима;

• определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто

• контролирует и что при этом они должны делать), определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

• определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.

Периодически проводимые мероприятия

К периодически проводимым мероприятиям относят:

• распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

• анализ системных журналов (журналов регистрации), принятие мер по обнаруженным нарушениям правил работы;

• пересмотр правил разграничения доступа пользователей к ресурсам АС организации;

• осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты и разработка необходимых мер по совершенствованию (пересмотру состава и построения) системы защиты.

 

Мероприятия, проводимые по необходимости

К мероприятиям, проводимым по необходимости, относят:

• мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

• мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (санкционирование, рассмотрение и утверждение изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);

• проверка поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств, инструментальный контроль технических средств на наличие побочных электромагнитные излучения и наводок;

• оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;

• мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.);

• оформление юридических документов (договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами) и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с информационным обменом;

• обновление технических и программных средств защиты от НСД к информации в соответствие с меняющейся оперативной обстановкой.

Постоянно проводимые мероприятия

Постоянно проводимые мероприятия включают:

• мероприятия по обеспечению) достаточного уровня физической защиты всех компонентов АС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т.п.).

• мероприятия по непрерывной поддержке функционирования и управлению (администрированию) используемыми средствами защиты;

• организацию явного и скрытого контроля за работой пользователей и персонала системы;

• контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй, функционирования, обслуживания и ремонта АС;

• постоянно (силами службы безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.

Распределение функций по ОИБ

Реализация подразделениями и отдельными сотрудниками организации функций по ОИБ осуществляется в соответствии с разработанными и утвержденными руководством организационно-распорядительными документами (положениями, инструкциями, обязанностями, перечнями, формулярами и т.п.), о которых говорилось выше.

Приведенное далее структурное деление и наименование подразделений являются условными и введены с целью конкретизации положений Технологии.

Технология управления информационной безопасностью предусматривает взаимодействие и реализацию определенных функций по ОИБ следующими подразделениями и должностными лицами организации:

Служба безопасности (отдел защиты информации)

Выполнение различных мероприятий по созданию и поддержанию работоспособности системы защиты должно быть возложено на специальную службу - службу компьютерной безопасности.

Служба обеспечения безопасности информации должна представлять собой систему штатных подразделений и нештатных сотрудников, организующих и обеспечивающих комплексную защиту информации.

На основе утвержденной системы организационно-распорядительных документов подразделения выполняют следующие основные действия:

• определяет критерии, по которым различные АРМ относятся к той или иной категории по требуемой степени защищенности, и оформляет их в виде «Положения об определении требований по защите (категорировании) ресурсов»;

• определяет типовые конфигурации и настройки программно-аппаратных средств защиты информации для АРМ различных категорий (требуемых степеней защищенности);

• по заявкам руководителей подразделений (используя формуляры АРМ и формуляры задач) проводит анализ возможности решения (а также совмещения) указанных задач на конкретных АРМ (с точки зрения обеспечения безопасности) и принимает решение об отнесении АРМ к той или иной группе по степени защищенности;

• совместно с отделом технического обслуживания Управления автоматизации проводит работы по установке на АРМ программно-аппаратных средств защиты информации;

• согласовывает и утверждает предписания на эксплуатацию АРМ (формуляры АРМ), подготовленные в подразделениях организации;

• обеспечивает проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности информации;

• определяет организацию, методики и средства контроля эффективности противодействия попыткам несанкционированного доступа к информации (НСД) и незаконного вмешательства в процесс функционирования АС.

Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций

• по заявкам руководителей подразделений (используя формуляры АРМ и формуляры задач) проводит анализ возможности решения указанных задач на конкретных АРМ и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств АРМ;

• на основе утвержденных заявок начальников подразделений установленным порядком производит:

• установку (развертывание, обновление версий) программных средств, необходимых для решения на АРМ конкретных задач (используя полученные в ФАП дистрибутивы и формуляры задач);

• удаление (затирание) программных пакетов, необходимость в использовании которых отпала;

• установку (развертывание) новых АРМ (ПЭВМ) или подключение дополнительных устройств (узлов, блоков), необходимых для решения на АРМ конкретных задач;

• изъятие или замену ПЭВМ (отдельных устройств, узлов, блоков), необходимость в использовании которых отпала, предварительно осуществляя установленным порядком затирание остаточной информации на изымаемых машинных носителях;

• принимает участие в заполнении (корректировке сведений) формуляров АРМ и выдаче предписаний к эксплуатации АРМ;

• в своей деятельности сотрудники отдела эксплуатации руководствуются «Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АРМ АС организации».

Управление автоматизации (фонд алгоритмов и программ - ФАП

• ведет общий перечень задач, решаемых в АС организации;

• по запросу начальников подразделений организации предоставляет общий перечень и копии формуляров конкретных задач, решаемых в АС;

• совместно с отделами разработки и сопровождения Управления автоматизации и отделом защиты информации оформляет формуляры установленного образца на новые функциональные задачи АС, сдаваемые в ФАП;

• хранит установленным порядком и осуществляет резервное копирование и контроль целостности лицензионных дистрибутивов или эталонных носителей, принятых в ФАП программных пакетов;

• осуществляет выдачу установленным порядком (во временное пользование) специалистам отдела технического обслуживания Управления автоматизации лицензионных дистрибутивов или эталонных носителей программных пакетов (их целостных копий) для их развертывания или обновления на АРМ АС организации по заявкам начальников отделов.

Все Управления и отделы (структурные подразделения) организации

• определяют функциональные задачи, которые должны решаться в подразделении с использованием АРМ АС организации;

• все необходимые изменения в конфигурации АРМ и полномочиях пользователей подразделения осуществляют на основе заявок в соответствии с "Инструкцией по внесению изменений в списки пользователей АС организации и наделению их полномочиями доступа к ресурсам системы" и "Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АРМ автоматизированной системы организации";

• заполняют формуляры АРМ и представляют их на утверждение в отдел технической защиты Управления безопасности;

• обеспечивают надлежащую эксплуатацию установленных на АРМ средств защиты информации.

Система организационно-распорядительных документов по организации комплексной системы защиты информации

В Уставе организации (основном документе, в соответствии с которым организация осуществляет свою деятельность), во всех положениях о структурных подразделениях организации (департаментов, управлений, отделов, служб, групп, секторов и т.п.) и в функциональных обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, должны быть отражены требования по обеспечению информационной безопасности при работе в АС.

Задачи организации и функции по ОИБ ее подразделений и сотрудников в перечисленных выше документах должны формулироваться с учетом положений действующего в России законодательства по информатизации и защите информации (Федеральных Законов, Указов Президента РФ, Постановлений Правительства РФ и других нормативных документов).

Конкретизация задач и функций структурных подразделений, а также детальная регламентация действий сотрудников организации, их ответственность и полномочия по вопросам ОИБ при эксплуатации АС должны осуществляться как путем дополнения существующих документов соответствующими пунктами, так и путем разработки и введения в действие дополнительных внутренних организационно-распорядительных документов по ОИБ.

В целях обеспечения единого понимания всеми подразделениями и должностными лицами (сотрудниками) организации проблем и задач по обеспечению безопасности информации в организации целесообразно разработать «Концепцию обеспечения информационной безопасности» организации. В Концепции на основе анализа современного состояния информационной инфраструктуры организации и интересов организации в области обеспечения безопасности должны определяться основные задачи по защите информации и процессов ее обработки, намечаться подходы и основные пути решения данных задач.

Необходимым элементом организации работ по обеспечению безопасности информации, ее носителей и процессов обработки в АС организации является категорирование, то есть определение требуемых степеней защищенности (категорий) ресурсов АС (информации, задач, каналов взаимодействия задач, компьютеров). Для обеспечения управления и контроля за соблюдением установленных требований к защите информации и с целью обеспечения дифференцированного подхода к защите конкретных АРМ различных подсистем АС организации необходимо разработать и принять «Положение об определении требований по защите (категорировании) ресурсов» в АС организации. В этом документе необходимо отразить вопросы взаимодействия подразделений организации при определении требуемой степени защищенности ресурсов АС организации в зависимости от степени ценности обрабатываемой информации, характера обработки и обязательств по ОИБ перед сторонними организациями и физическими лицами.

Целесообразно введение классификации защищаемой информации, включаемой в «Перечень информационных ресурсов, подлежащих защите», не только по уровню конфиденциальности (конфиденциально, строго конфиденциально и т.д.), но и по уровню ценности информации (определяемой величиной возможных прямых и косвенных экономических потерь в случае нарушения ее целостности и несвоевременности представления - своевременности решения задач).

В данном Перечне необходимо также указывать подразделения организации, являющиеся владельцами конкретной защищаемой информации и отвечающие за установление требований к режиму ее защиты.

Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно специальной "Инструкции по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы ".

Меры безопасности при вводе в эксплуатацию новых рабочих станций и серверов, а также при изменениях конфигурации технических и программных средств существующих компьютеров в АС должны определяться "Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств компьютеров АС".

Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с утвержденным «Порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию».

«Инструкция по организации антивирусной защиты» должна регламентировать организацию защиты АС от разрушающего воздействия компьютерных вирусов и устанавливать ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС, за их ненадлежащее выполнение.

«Инструкция по организации парольной защиты» призвана регламентировать процессы генерации, смены и прекращения действия паролей пользователей в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

При использовании в некоторых подсистемах АС средств криптографической защиты информации и средств электронной цифровой подписи необходим еще один документ, регламентирующий действия конечных пользователей, - «Порядок работы с носителями ключевой информации».

Для пользователей защищенных АРМ (на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые дополнения к функциональным обязанностям и технологическим инструкциям, закрепляющие

требования по обеспечению информационной безопасности при работе в АС и ответственность сотрудников за реализацию мер по обеспечению установленного режима защиты информации.

Регламентация предусматривает введение таких ограничений и внедрение таких приемов работы сотрудников, которые, не создавая помех для исполнения ими своих функциональных обязанностей (технологических функций), минимизируют возможности