Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

леднее время все более действенными, в частности, потому, что

российский законодатель уделяет все больше внимания правовому

регулированию вопросов информационной безопасности, в том

числе, развитию института охраняемой законом тайны. Правовые

режимы защиты информации на предприятии - это уже не желание

руководства, а требование закона. Например, обязате льным для

предприятия является наличие правовых режимов защиты

персональных данных работников, защиты профессиональной

тайны, а также защиты конфиденциальных сведений, полученных в

ходе осуществления совместной деятельности с другими

организациями. Грамотно организованный режим защиты

коммерческой тайны позволит возместить ущерб от ее незаконного

разглашения. Положение о средствах коммуникации позволит

предприятию осуществлять полноценное использование своей

электронной почты, а положение о видеозаписи - устанавливать

камеры наружного слежения. Дополнительно дисциплиниру ет

персонал памятка об ответственности за неправомерное

обращение с информацией. Несколько десятков локальных

правовых актов, разработанных и принятых в организации,

существенно снизят риски, связанные с неправомерным об-

ращением с вашей информацией, и риски, возникающие у

предприятия вследствие нарушения им норм российского за-

конодательства, регулирующих обращение с охраняемыми

сведениями.

Глава 14 Организационные меры защиты

информации на предприятии

Система защиты информации рациональная совокупность

направлений, методов, средств и мероприятий, снижающих

уязвимость информации и препятствующих несанкциониро ванному

доступу к информации, ее разглашении или утечке.

Структура системы защиты охватывает не только электронные

информационные системы, а весь управленческий комплекс

фирмы.

При формировании системы безопасности необходимо четко

уяснить, какие задачи перед ней стоят (рис. 14.1).

Рис. 14.1 Задачи системы безопасности информации

Для решения этих задач используется комплекс меропри ятий,

в число которых входит система организационных мер (рис. 14.2).

Рис. 14.2 Мероприятия по обеспечению защиты информации

Основная характеристика системы: еѐ комплексность, т.е.

наличие в ней обязательных элементов, охватывающих все

направления защиты информации.

Соотношение элементов и их содержания обеспечивают

индивидуальность построения системы защиты информации и

гарантируют неповторимость системы, трудность ее пре одоления.

Элементами системы являются [120]: правовой, организационный,

инженерно-технический, программно - аппаратный и

криптографический.

Организационный элемент системы защиты информации

содержит меры управленческого, ограничительного и техно-

логического характера, определяющие основы и содержание

системы защиты, побуждающие персонал соблюдать прави ла

защиты конфиденциальной информации фирмы. Элемент

включает в себя регламентацию:

1) Формирования и организации деятельности службы безо -

пасности и службы конфиденциальной докумен тации, обеспечения

деятельности этих служб нормативно-методическими документами

по организации и технологии защиты информации.

2) Составления и регулярного обновления состава защи-

щаемой информации фирмы, составления и ведения перечня

защищаемых бумажных, машиночитаемых и электронных

документов.

3) Разрешительной системы разграничения доступа персо нала

к защищаемой информации.

4) Методов отбора персонала для работы с защищаемой

информацией, методики обучения и инструктирования сотруд ников.

5) Направлений и методов воспитательной работы с персо -

налом, контроля соблюдения сотрудниками порядка защиты

информации.

6) Технологии защиты, обработки и хранения бумажных,

машиночитаемых и электронных документов; внемашинной

технологии защиты электронных документов.

7) Порядка защиты ценной информации фирмы от случайных

или умышленных несанкционированных действий персонала.

8) Ведения всех видов аналитической работы.

9) Порядка защиты информации при проведении совеща ний,

заседаний, переговоров, приеме посетителей, работе с

представителями СМИ.

10) Оборудования и аттестации помещений и рабочих зон,

выделенных для работы с конфиденциальной информацией.

11) Пропускного режима на территории, в здании, помещениях,

идентификации транспорта и персонала фирмы.

12) Системы охраны территории.

13) Действий персонала в экстремальных ситуациях.

14) Организационных вопросов приобретения, установки и эк-

сплуатации технических средств защиты информации и охраны.

15) Работы по управлению системой защиты информации.

16) Критериев и порядка проведения оценочных меропри ятий

по установлению степени эффективности системы защиты

информации.

Система организационных мер по защите информации

представляют собой комплекс мероприятий, включающих четыре

основные компонента [113]:

- изучение обстановки на объекте;

- разработку программы защиты;

- деятельность по проведению указанной программы в жизнь;

- контроль за ее действенностью и выполнением установ -

ленных правил.

К числу рассматриваемых подсистем организационного плана

по защите информации можно отнести следующие мероприятия:

- ознакомление с сотрудниками, их изучение, обучение пра-

вилам работы с конфиденциальной информацией, ознакомле ние с

мерами ответственности за нарушение правил защиты

информации и др.;

- организация надежной охраны помещений и территории

прохождения линии связи;

- организация, хранения и использования документов и

носителей конфиденциальной информации, включая порядок

учета, выдачи, исполнения и возвращения;

- создание штатных организационных структур по защите

ценной информации или назначение ответственного за защиту

информации на конкретных этапах еѐ обработки и передачи;

- создание особого порядка взаимоотношений со сторонними

организациями и партнерами;

- организация секретного и КТ - делопроизводства.

На всех стадиях информационного процесса ведущая роль

принадлежит человеку - носителю, пользователю информации и

знания. От того, как будут учтены в информационных про цессах

интересы, психологические установки, свойства личности, зависит

эффективность использования информации.

Такой компонент, как разграничение доступа к информа ции,

задается одним из важных элементов системы комплексной

защиты информации. В основе ее построения лежит по ложение о

том, что каждый из членов трудового коллектива должен обладать

только теми сведениями, которые необходимы ему в силу

выполняемых обязаннос тей. В этом случае только руководитель

имеет доступ ко всем материалам, независимо от их важности.

Качественная разработка и строгое соблюдение указанных

правил - достаточно действенная мера, направленная на то, чтобы

привести к минимуму риск утраты наиболее важной информации и

определить объем похищенных сведений. Раз работка правил

предполагает найти ответ на вопросы:

- кому и в каком случае может быть дано разрешение на

допуск информации;

- кто из руководителей имеет право давать разрешение на

доступ и к каким сведениям.

При детализации указанных правил предполагается выде -

ление следующих основных позиций:

- права, обязанности и ответственность сотрудников и ру-

ководителей по доступу и виды разрешений на доступ к конк ретной

информации, узлам еѐ хранения, обработки и передачи по сети;

- порядок доступа к сведениям, составляющим тайну пред-

ставителей заказчика;

- порядок доступа к этим сведениям представителей госу -

дарственных структур;

- рассылка носителей информации в другие точки и обмен ими

между подразделениями организаций.

Исходя из всего вышесказанного, приходим к выводу, что

необходимо чѐткое разграничение прав доступа различных лиц к

информации на различных этапах еѐ обработки и пе редачи.

Элемент организационной защиты является с тержнем,

основной частью рассматриваемой комплексной системы. Меры по

организационной защите информации составляют 50-60 % в

структуре большинства систем защиты информации. Это связано с

тем, что важной составной частью организационной защиты

информации является подбор, расстановка и обучение персонала,

который будет реализовывать на практике систему защиты

информации. Организационные меры защиты отражаются в

нормативно-методических доку ментах службы безопасности,

службы конфиденциальной документации учреждения или фирмы.

Глава 15 Организация работы с персоналом

предприятия

15.1 Классификация персонала по степени влияния на

состояние ИБ

Информатизация российского бизнеса, интернитизация многих

сфер предпринимательской деятельности (финансы, реклама,

торговля и т.п.), внедрение компьютерных технологий управления

выдвигают на первый план проблемы информационной

безопасности организации. Вкладывая средства в

информационную безопасность предприятия, не стоит пре-

небрегать человеческим фактором. При этом важна опора не на

приблизительные оценки, а на результаты специальных

диагностических исследований [49]. Проведение таких иссле-

дований предполагает разработку теоретических аспектов. Один из

таких аспектов связан с выбором приоритетных групп для

диагностики влияния их на принятие решений в сфере

информационной безопасности и их роли в формировании кор-

поративной культуры безопасности. Эти группы можно диф-

ференцировать следующим образом.

Руководители. Несомненно руководители имеют прямое

отношение к проблемам информационной безопасности. Ру-

ководители принимают стратегические решения о расширении

информационной базы и о принятии на работу специали ста по

информационной безопасности. Вследствие отсутствия знаний по

данной проблеме многие руководители усугубляют проблемы,

предполагая, что эксперт по безопасности, находясь в каком-

нибудь отдалѐнном месте, сможет предотвратить, обнаружить или

залатать бреши в защите на десятках ПК, рассеянных по всей

организации. Не редко руководите ли, осмысливая только часть

проблемы и давая команду о повсеместной установке

определѐнного средства защиты, не только не решают проблемы,

но и усложняют еѐ решение.

Специалисты по информационной безопасности. Если орга-

низация не велика, то в ней нередко предпринимаются попытки

совместить в одном лице обязанности менеджера по

информационной безопасности и администратора сети. Это далеко

не всегда приводит к успешной защите информационных интересов

фирмы, т.к. объѐм профессиональных обязанностей данных

специалистов различен. Администратор сети отвечает за

функционирование сети, в том числе и за ее безо пасность (в

технических и программных аспектах), тогда как менеджер по

безопасности должен держать в поле зрения все участки

информационной среды фирмы и предотвращать все угрозы еѐ

информационной безопасности (технические способы

несанкционированного доступа - подслушивание, подключение,

внедрение, похищение документов, шантаж и подкуп персонала,

дезинформация и т.п.). Поэтому менеджер по безопасности должен

владеть всем комплексом проблем инфор мационной безопасности,

уметь работать с людьми не в меньшей степени, чем с

техническими средствами защиты. Цель специалиста по

безопасности не в написании памяток или заявлений

стратегического порядка, а в повышении безопасности

информации.

Администраторы локальных сетей. Администраторы сети - это,

как правило, технически грамотные молодые люди. Они достигли

своего положения, благодаря своей кропотливой работе, умению

быстро постигать и возможности покупать книги соответствующего

содержания.

Администраторы сети сталкиваются с большим количеством

проблем связанных с безопасностью сети. У них, как и у

специалистов по информационной безопасности, возникает масса

конфликтов с пользователями из-за ущемления прав

пользователей. Менеджеры сети в большинстве случаев с тал-

киваются со следующими проблемами:

- отказ выполнять процедуры управления;

- отказ выполнять процедуры управления надлежащим

образом;

- отказ исправлять известные изъяны системы;

- отказ следовать установленным процедурам эксплуата ции;

- отказ в дисциплинарном наказании пользователей при

нарушении ими информационной безопасности.

Пользователи. Самые типичные угрозы информационной

безопасности исходят от «внутреннего врага». Чаще всего

компьютеры становятся жертвой небрежного пользователя. Но

угроза информационной безопасности исходят не только от

небрежного пользователя. Очень компетентные и аккуратные

пользователи так же представляют угрозу. Они могут подобрать

для работы сложное программное обеспечение, ко торое с трудом

будут использовать другие, списать из сети и установить файл,

содержащий вирус.

Пользователей больше волнуют их личные перспективы, а не

нужды организации, в связи с этим от них исходит по тенциальная

угроза информационной безопасности. Особое место занимает

группа недовольных обозлѐнных пользователей. Люди, которые

вредят изнутри, наиболее хрупкое место ин формационной

безопасности, поскольку это те люди, которым доверяют.

Уровень квалификации пользователей принято оценивать по

следующей шкале [37]: начинающий пользователь, пользователь,

опытный пользователь, пользователь -специалист* Критерием

здесь выступает опыт самостоятельного, успешного использования

ИТ.

Начинающим пользователем считается человек, который хотя

бы раз в жизни работал на компьютере. Умение совершать

элементарные действия (включить-выключить ПК и т.п.),

разбираться во всех базовых (пользовательских) операциях - также

уровень начинающего пользователя.

Следующий уровень квалификации - пользователь, который

характеризуется уверенным владением программным

обеспечением общего назначения (Word, Excel и т. д.).

Опытными пользователями считаются сотрудники, способные

реализовать все возможности ИТ на своем участке работы. Для

таких пользователей и создаются многофункциональные сложные

программы. Они способны сами решить, какое программное

обеспечение оптимально решит их задачи, могут самостоятельно

установить и настроить его, автоматизировать отдельные операции

с помощью встроенных в ПО инструментов.

Иногда квалификация пользователя в отдельных аспек тах ИТ

достигает специального уровня. Такой пользователь-специалист

может осуществлять отдельные функции системного

администратора или специалиста по технической под держке.

Например, может сам подобрать себе конфигурацию ПК,

обслуживать свое автоматизированное рабочее место (АРМ),

осуществлять несложный ремонт оргтехники, настраивать

отдельные виды ПО.

Одна из наиболее серьезных угроз информационной безо -

пасности - так называемые «ламеры» (от английского глагола to

lame - калечить), оно обозначает пользователя, необоснован но

считающего себя специалистом и пытающегося выполнять

соответствующие функции, допуская грубейшие ошибки, порой

выводя из строя ИС. Выражение активно используется

специалистами по ИТ, его важно правильно понимать, но ка-

тегорически не рекомендуется использовать применительно к

сотрудникам, так как в субкультуре продвинутых пользовате лей и

специалистов по ИТ «ламер» - тяжкое оскорбление.

Отмечено, что причина утечки информации чаще всего

происходит в результате небрежности первых лиц организа ции.

Например, в частных фирмах более 75 % ответственных

сотрудников, принимая посетителей, не считают необхо димым

убирать конфиденциальные документы со стола или же выключать

компьютер [61]. Это часто приводит к потере значительной части

оперативной информации.

По данным опросов [38], 75 % руководителей крупных -

предприятий хорошо знают об увеличении возможности утечки

информации при использовании современных множительных

средств типа ксерокса. Тем не менее, копирование материала в

53,6 % случаев происходит в режиме самообслуживания, в -32,7 %

- оператором по устной просьбе служащего и только в 3,5 %

случаев оператор делает копии под расписку или по письменному

заказу.

По данным исследования, проведенного итальянскими пси-

хологами, только 25 % служащих фирмы - действительно

надежные люди, еще столько же ожидают удобного случая для

разглашения секретов, а 50 % будут действовать в зависимости от

обстоятельств.

В США компьютерные преступления совершаются, как пра -

вило, служащими, допущенными к работе с информационными

системами. Клерки, администраторы и управляющие виновны в них

чаще, чем профессиональные программисты [88].

Зафиксирован ряд случаев, когда программисты заклады вали

в информационную систему «логическую бомбу» на слу чай форс-

мажорных обстоятельств, значимых для них. При наступлении

указанных обстоятельств «бомба» стирает весь массив

информации и самоликвидируется. Доказать вину в суде

практически невозможно.

Одна из крупнейших международных компаний по оказа нию

аудиторских и консультационных услуг Ernst & Young (коллектив

компании насчитывает 103 тыс. сотрудников в более чем 140

странах мира, свое первое ежегодное исследо вание в области

информационной безопасности компания опубликовала в 1993 г.) в

2003 г. осуществила исследование, в котором участвовали 1233

организации, представляющие компании из 51 страны мира.* Из

результатов исследования [123] видно, что более 70 % компаний в

мире недостаточно обучают сотрудников мерам информационной

безопасности.

Руководители компаний, несмотря на хорошую осведом -

ленность о рисках, которым подвергается информационная

безопасность со стороны поставщиков ИТ-услуг и сотрудников их

организаций, не предпринимают адекватных мер.

Менее одной трети из этих компаний проводят регуляр ную

оценку работы своих поставщиков ИТ-услуг с целью контроля

соблюдения ими политики по информационной безо пасности,

остальные полагаются исключительно на доверие.

Более 70 % организаций не включили обучение и повыше ние

осведомленности сотрудников по вопросам информацион ной

безопасности в списки своих приоритетных задач.

Эдвин Беннет, директор международной практики Ernst &

Young в области информационных технологий и компью терной

безопасности, считает, что, вопреки сложившемуся общественному

мнению, некорректное поведение сотрудников может нанести

компании гораздо больший вред, чем внешняя угроза. «Так как

многие происшествия с участием сотрудников остаются

невыявленными, организации часто и не подозревают о

недобросовестной работе персонала» [123].

15.2 Работа с персоналом — один из уровней сист емы

защиты информации

По данным исследования, компании охотно идут на закуп ки

технологических средств, в частности межсетевых экра нов и

антивирусной защиты, но не готовы относить кадровые проблемы к

разряду приоритетных.

По мнению исследователей, для создания атмосферы инфор-

мационной безопасности наиболее эффективны меры, связан ные с

повышением информационной культуры на предприятии.

Необходимо формировать четкую целевую установку на

повышение надежности и ответственности в вопросах защи ты

информации. Так, во многих американских фирмах действует

двухуровневая система защиты информации. Первый уровень -

обеспечение информационной безопасности силами спецслужб,

второй - культивирование атмосферы бдительности и

ответственности с помощью так называемых координаторов,

назначаемых из служащих среднего звена.

Целесообразно разбить технологический процесс на ряд

самостоятельных этапов, чтобы служащие знали только часть

секретов, а цельным знанием владело лишь руководство или узкий

круг лиц. Необходим постоянный мониторинг отношений между

людьми, владеющими информацией, учет их морального и

психологического состояния. Основаниями для беспокойства

являются: проявления эмоциональной неурав новешенности,

недовольства, хитрости, разочарования слу жащих, идеи которых

отвергнуты.

Предлагается создать систему внутрифирменной коммуни -

кации, не допускающей полной автономности отдельных ра-