Системный подход к обеспечению информационной безопасности хозяйствующего субъекта.

Управление КСЗИ хозяйствующего субъекта: понятие, задачи управления.

Управление заключается в целенаправленном воздействии на объект управления с целью достижения им цели своего функционирования. В данном случае под объектом управления будем понимать совокупность подсистем и элементов СОИБ, целенаправленное воздействие на которые обеспечит выполнение задач информационной безопасности.

Решение задач управления СОИБ дает возможность решения двух основных задач.

Во-первых, задачи количественной оценки текущего уровня информационной безопасности компании. Выполнение этой задачи основано на оценке рисков ИБ на организационно-правовом, экономическом, инженерно-техническом и других уровнях обеспечения защиты информации. Во-вторых, задачи разработки и реализации комплексного плана совершенствования СОИБ хозяйствующего субъекта для достижения приемлемого уровня защищенности его информационных активов.

Для решения этой задачи необходимо:

- обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;

- выявить и провести превентивное блокирование наиболее опасных уязвимостей;

- определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании;

- создать необходимый пакет организационно-распорядительной документации;

- разработать и согласовать со службами ХС, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;

- обеспечить эффективное функционирование внедренного комплекса защиты, в том числе и при изменяющихся условиях работы организации. Проводить периодические доработки организационно-распорядительной документации, модификацию технологических процессов и модернизацию технических средств защиты.

Решение названных задач будет способствовать наиболее эффективному осуществлению управленческой деятельности должностными лицами разного уровня.

 

Организационное обеспечение КСЗИ: понятие, структура.

Правовое обеспечение КСЗИ: понятие, структура.

Модели оценки эффективности функционирования КСЗИ: виды, краткая характеристика.

Инженерно-техническая защита от утечки по техническим каналам: понятие, структура.

Программно-аппаратное обеспечение КСЗИ: понятие, структура.

Перечень сведений, подлежащих защите в организации: понятие, порядок формирования и утверждения.

 

Системный подход к обеспечению информационной безопасности хозяйствующего субъекта.

Под системой обеспечения информационной безопасности (СОИБ) будем понимать функциональную подсистему системы комплексной безопасности хозяйствующего субъекта, объединяющую силы, средства и объекты защиты информации, организованные и функционирующие по правилам, базирующимся на положениях правовых, организационно-распорядительных и нормативных документов по защите информации. Под силами СОИБ будем понимать совокупность органов и (или) исполнителей работ, связанных с защитой информации в интересах данного хозяйствующего субъекта. Следовательно, под силами СОИБ подразумевается существование некоторого структурного подразделения, выполняющего задачи управления функционированием данной системы. Характер и количественные характеристики сил СОИБ будут зависеть от размера хозяйствующего субъекта, характера и степени конфиденциальности имеющейся информации, а также от объема затрат на выполнение указанных задач.

 

 

Средства защиты информации – это совокупность правовых, организационных, технических и других решений, предназначенных для защиты информационных ресурсов хозяйствующего субъекта от несанкционированных внутренних и внешних воздействий.

Под объектами защиты информации будем понимать информационные ресурсы, т.е. любые виды активов информационной системы хозяйствующего субъекта: структурированная и неструктурированная информация, документы, вычислительная техника, коммуникационное и сетевое оборудование, оргтехника и др.

В качестве примера системности в реализации работ по обеспечению информационной безопасности приведем положения американской концепции системного подхода к обеспечению защиты конфиденциальной информации (OPSEC Operation Security), которая строится на 7 этапах реализации

Первый этап (анализ объекта защиты) состоит в определении того, что нужно защищать и проводится по следующим направлениям:

- какая информация нуждается в защите;

- наиболее важные (критические) элементы защищаемой информации;

- срок жизни критической информации (время, необходимое конкуренту для реализации деструктивных воздействий с использованием добытых сведений);

- определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений;

- классифицируются индикаторы по функциональным зонам предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения управления и т.д.).

Второй этап заключается в выявлении угроз. Он реализуется по следующим направлениям:

- определяется, кого может заинтересовать защищаемая информация;

- оцениваются методы, используемые конкурентами для получения этой информации;

- оцениваются вероятные каналы утечки информации;

- разрабатывается система мероприятий по пресечению действий конкурента.

Третий этап заключается в анализе эффективности принятых и постоянно действующих подсистем безопасности (физической безопасности документации, надежности персонала, безопасности используемых для передачи конфиденциальной информации линий связи и т.д.).

На четвертом этапе проводится определение необходимых мер защиты. На основе проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности предприятия.

Пятый этап включает рассмотрение руководителями фирмы (организации) представленных предложений по всем необходимым мерам безопасности и расчет стоимости и эффективности их реализации.

На шестом этапе осуществляется реализация принятых дополнительных мер безопасности с учетом установленных приоритетов.

На седьмом этапе осуществляется контроль и доведение до сведения персонала фирмы реализуемых мер безопасности.

Рассматриваемый метод требует серьезной работы аналитической группы по сбору и анализу информации:

- о рынке и конкурентном окружении;

- о производстве и продукции;

- об организационных особенностях предприятия и его финансах.