Тема 6. Организация службы защиты информации (СЗИ)

организации, направленных на защиту информации от несанкционированного ознакомления, изменения, разрушения или отказа в доступе. Это достигается путем внедрения соответствующих правил, инструкций и указаний

формированию структуры и системы управления, обеспечению ее деятельности всем необходимым.
Целью организационного проектирования является обеспечение высокого уровня организованности деятельности службы.

Этапы организационного проектирования СлЗИ:
анализ рисков и структуризация проблем;
определение организационной структуры службы;
определение необходимого персонала и его подбор
организация информационного обеспечения службы;
определение взаимодействия службы с другими структурными подразделениями фирмы;
экономическая обоснованность проектируемой службы.

сведения, представляющие для предприятия какую-либо ценность, которые предстоит защищать
2 этап – построение схем каналов доступа, утечки или воздействия на информационные ресурсы
3 этап - анализ способов защиты всех возможных точек атак, соответствующих целям защиты
4 этап - определение вероятности реализации угроз по каждой из возможных точек атак
5 этап - оценка ущерба предприятию в случае реализации каждой из атак

оценки;
статистические данные;
- учет факторов, влияющих на уровни угроз и уязвимостей.

Методика 1 – накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.

Методики оценки угроз и уязвимостей

Методика 2 - учет различных факторов, влияющих на уровни угроз и уязвимостей.

тяжесть возможных последствий.

U = Pпр. * V

где:
U – риск,
Pпр. – вероятность что событие произойдет, %;
V – стоимость потери.

Переменные выражения являются качественными величинами, поэтому рассмотрим вариант использования качественных величин

- цена потери

Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.

Рпр. = Руг. * Руязв.

где:
Pпр. – вероятность что событие произойдет, %;
Pуг. – вероятность угрозы, %;
Pуязв.- вероятность уязвимости, %.

Руязв. * V

Где:
Pпр – вероятность что событие произойдет, %;
Pу – вероятность угрозы, %;
Pуязв- вероятность уязвимости, %.

уровень безопасности

Определение каналов утечки
предмет защиты (охраняемая информация)
источник информации (носители информации, ПЭМИН и т.п.)
место «циркуляции» информации (сл. Кабинеты, переговорные и т.п.)

B)

По технической оснащенности и используемым методам и средствам нарушители подразделяются на:
применяющих пассивные средства (средства перехвата без модификации компонентов системы);
использующих только штатные средства и недостатки системы защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств);
применяющих методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

анализ и исследование причин и величины ущерба, восстановление информации и функций АС по ее обработке;
косвенные потери, связанные со снижением банковского доверия, потерей клиентуры, подрывом репутации, ослаблением позиций на рынке.

для организации квалифицированной разработки системы ЗИ и обеспечении ее функционирования.

СлЗИ является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю фирмы.

являющихся коммерческой тайной;
организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;
организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;
предотвращение необоснованного допуска и доступа к сведениям и работам, составляющим коммерческую тайну;
выявление и локализации возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (аварийных, пожарных и др.) ситуациях;
обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания, заседания, связанные с деловым сотрудничеством, как на национальном, так и на международном уровне;
обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;
обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;
оценка маркетинговых ситуаций и неправомерных действий злоумышленников и конкурентов.

обеспечению безопасности, соответствующих общим правилам работы организации и требованиям к обработке информации;
внедрение программы обеспечения безопасности, включая классификацию степени секретности информации (если таковая имеется) и оценку деятельности;
разработку и обеспечение выполнения программы обучения и ознакомления с основами информационной безопасности в масштабах организации;
разработку и сопровождение перечня минимальных требований к процедурам контроля за доступом ко всем компьютерным системам, независимо от их размера;
отбор, внедрение, проверку и эксплуатацию соответствующих методик планирования восстановления работы для всех подразделений организации, принимающих участие в автоматизированной обработке самой важной информации;
разработку и внедрение процедур пересмотра правил обеспечения информационной безопасности, а также рабочих программ, предназначенных для поддержки правил, инструкций, стандартов и указаний организации;
участие в описании, конструировании, создании и приобретении систем в целях соблюдения правил безопасности при автоматизации производственных процессов;
изучение, оценку, выбор и внедрение аппаратных и программных средств, функций и методик обеспечения информационной безопасности, применимых для компьютерных систем организации.

в проектировании системы защиты, ее испытаниях и приемки в эксплуатацию;
планирование и организация, обеспечение функционирования системы ЗИ в процессе функционирования АС;
распределение между пользователями необходимых реквизитов защиты (порядок доступа к системе, в помещение);
наблюдение за функционированием СЗИ и ее элементов;
организация проверок надежности функционирования системы защиты (соответствие параметров установленным требованиям, выяснение, сама служба делает или плановые проверки: нарушения, защита от атак, нанимается фирма для атак);
обучение пользователей и персонала АС правилам безопасной обработки информации;
контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
принятие мер при попытках НСД к информации и нарушение правил функционирования систем защиты.

к информации;
мероприятия по обеспечению контроля и функционирования системы защиты информации;
меры реагирования на нарушение режима безопасности;
планирование и организация восстановительных работ.

подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
штатный состав службы не должен иметь других обязанностей, связанных с функционированием АС;
сотрудники службы должны иметь право доступа во все помещения, где установлена аппаратура АС и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;
руководителю службы должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации;
службе информационной безопасности должны быть обеспечены все условия, необходимые для выполнения своих функций.

Права и обязанности службы по вопросам защиты информации на объекте

при полном пересмотре принятых решений;
мероприятия, проводимые при осуществлении или возникновении изменений в самой СЗИ или в АС или внешней среде (мероприятия по необходимости);
периодически проводимые мероприятия;
постоянно проводимые мероприятия.

проектировании, строительстве и оборудовании вычислительных центров и др. объектов автоматизированной системы;
мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка, сертификация технических и программных средств, документирования осуществляемых работ);
проведение спецпроверок всех применяемых в АС средств, вычислительной техники и проведение мероприятия по защите информации от утечки по каналам побочных излучений и наводок (фильтры, зашумление);
разработка и утверждение функциональных обязанностей должностных лиц;
оформление юридических документов (договора, приказы, распоряжения) по вопросам регламентации отношений с пользователями/клиентами, работающими в автоматизированной системе, а также между участниками информационного обмена о правилах разрешение споров, связанных с применением ЭЦП;
определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к системе (ее ресурсам);
мероприятия по созданию системы защиты и созданию инфраструктуры;
мероприятия по разработке правил управления доступом к ресурсам системы (каналы НСД, методы);
организация надежного пропускного режима;
определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации;
определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы;
создание отделов СлЗИ, которые осуществляют внедрение, контроль, эксплуатацию системы защиты;
определение перечня необходимых, регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и персонала, стихийных бедствий.

К разовым мероприятиям относятся:

обнаруженным нарушениям правил работы;
мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;
периодические с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты, на основе полученной в результате такого анализа информации принимать необходимые меры по совершению системы защиты;
мероприятия по пересмотру состава и построения СлЗИ.

К периодически проводимым мероприятиям относятся:

и модификации оборудования и программного обеспечения (строго санкционированные действия, документирование, контроль требований);
мероприятия по подбору и расстановке кадров (проверка, ознакомление с инструкцией, правилами, последствиями нарушения требований).

Мероприятия, проводимые по необходимости:

техники, носителей);
по непрерывной поддержке функционирования и управления, используемыми программными средствами;
явный и скрытый контроль за работой персонала системы;
контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС.

Постоянно проводимые мероприятия:

Постоянно силами СлЗИ осуществляется анализ состояния и оценка эффективности мер и применяемых средств защиты.

определении нормы времени на работы, выполняемые подразделениями СлЗИ, которые предназначены для нормирования и определения трудоемкости работ, выполняемых сотрудниками этих подразделений при организации защиты информации.
Нормы времени рекомендуются для определения необходимой численности сотрудников подразделений, разработки и корректировки их организационно-штатных структур.
Для достижения поставленной цели в методике решаются следующие задачи:
- Подготовка к проектированию нормативов и сбор исходных данных
- Анализ состояния нормирования труда, производство расчетов норм времени на работы, выполняемые СлЗИ.

СССР по труду и социальным вопросам и президиума ВЦСПС от 19 июня 1986 г. № 226/П-6 "Об утверждении положения об организации нормирования труда в народном хозяйстве". М.: Экономика, 1987.
Межотраслевые методические рекомендации по разработке нормативных материалов для нормирования труда в непроизводственных отраслях народного хозяйства. М: Экономика, НИИ труда Государственного комитета СССР по труду и социальным вопросам, 1988.
Положение о порядке разработки нормативных материалов для нормирования труда. М.:, Государственный комитет Совета Министров СССР по вопросам труда и заработной платы и президиум ВЦСПС, 1968.
Нормирование труда служащих. Методические указания. Издание второе исправленное. М.: НИИ труда Государственного комитета Совета Министров СССР по труду и социальным вопросам, 1976.
Методические рекомендации по анализу качества норм. М.: НИИ труда Государственного комитета совета министров СССР по вопросам труда и заработной платы, 1969.
Пашуто В.П. Организация и нормирование труда на предприятии: Учеб. пособие. – Мн.: Новое знание, 2001.
Нормы времени на работы по документационному обеспечению управленческих структур федеральных органов исполнительной власти, утвержденные постановлением Министерства труда и социального развития Российской Федерации от 26 марта 2002 г. № 23.
Межотраслевые типовые нормы времени на работы по сервисному обслуживанию персональных электронно-вычислительных машин и организационной техники и сопровождению программных средств, утвержденные постановлением Министерства труда и социального развития Российской Федерации от 23 июля 1998 г. № 28.
Постановление Правительства РФ от 11 ноября 2002 г. N 804 "О Правилах разработки и утверждения типовых норм труда".

расчёта норм времени, а именно методами:
экспертных оценок,
моментных наблюдений,
хронометражных измерений.
Произведём расчёт численности работников, осуществляющих ежемесячное обслуживание средств вычислительной и оргтехники учитывая что на предприятии имеется 10 комплектов средств вычислительной и оргтехники:
Исходные данные для расчёта численности работников, осуществляющих ежемесячное обслуживание средств вычислительной и оргтехники учитывая что на предприятии имеется 10 комплектов средств вычислительной и оргтехники (пример):

составит:

Т∑ = 1,15 х 521,6 = 599,84 ч.

Полезный фонд рабочего времени Фп одного сотрудника расчитывается по формуле и будет составлять:

Фп = 2000 х 0,9 х 0,9 = 1620 ч.

где:
Фо – общий фонд рабочего времени одного сотрудника за год, определяемый как рабочее время в рабочие дни года (в среднем равен 2000 час.)
Котп – поправочный коэффициент, учитывающий отпуска сотрудников, составляет 0,9.
Кп - поправочный коэффициент, (болезнь, командировки, работа в комиссиях, повышение квалификации и иные отвлечения от выполнения работ), составляет 0,9.

Т∑ = Тнорм * Кпопр

Фп = Фо * Котп * Кп