Система обеспечения информационной безопасности хозяйствующего субъекта: цели, задачи, виды обеспечения.

Работу по исследованию проблемы обеспечения информационной безопасности некоторого хозяйствующего субъекта начнем с четкого определения целей, задач и функций СОИБ, после чего покажем основные виды обеспечения функционирования данной системы и проведем декомпозицию с целью анализа структуры и взаимосвязей элементов исследуемой системы.

Цели, задачи и требования к СОИБ

Целью СОИБ является создание таких условий функционирования информационной системы хозяйствующего субъекта (ХС), при которых обеспечивается выполнение требований по конфиденциальности, доступности и целостности информации, принадлежащей ему.

В соответствии с целью СОИБ представим основные свойства информации.

Конфиденциальность информации – это субъективно определяемая для нее характеристика, указывающая на необходимость создания в информационной системе хозяйствующего субъекта условий, при которых вводятся ограничения на доступ к этой информации.

Доступность информации – это свойство информационной системы хозяйствующего субъекта, характеризующее ее способность обеспечивать своевременный и беспрепятственный доступ к информации субъектов, имеющих на это полномочия.

Целостность информации – это свойство информации, заключающееся в возможности ее существования в информационной системе хозяйствующего субъекта в неискаженном виде.

В соответствии с необходимостью обеспечения перечисленных свойств, определяющих безопасность информации, сформулируем задачи СОИБ. К таковым можно отнести:

1. Предупреждение появления угроз информационной безопасности.

Реализация этой задачи носит упреждающий характер и должна способствовать такому построению системы, которое обеспечивает полную невозможность (в идеале) или минимальную возможность появления дестабилизирующих факторов в различных условиях ее функционирования.

2. Обнаружение появившихся угроз и предупреждение их воздействия на информационную систему хозяйствующего субъекта.

Данная задача решается осуществлением комплекса мероприятий, в результате проведения которых появившиеся угрозы должны быть, в идеале, обнаружены до момента их воздействия на информационную систему и, непосредственно, на информационные ресурсы, а также должно быть обеспечено недопущение или минимизация воздействия угроз при их появлении и обнаружении.

3. Обнаружение воздействия угроз на информационную систему хозяйствующего субъекта и локализация этого воздействия.

Решение данной задачи заключается в непрерывном контроле средств, комплексов, систем обработки, хранения и защиты информации с целью своевременного обнаружения фактов воздействия на них угроз.

4. Ликвидация последствий воздействия угроз на информационную систему хозяйствующего субъекта.

Выполнение данной задачи предполагает проведение мероприятий в отношении обнаруженных (локализованных) воздействий угроз, т.е. которые заключаются в анализе состояния системы и восстановлении ее нормального функционирования.

Обеспечение функционирования СОИБ непременно связано с введением в хозяйствующем субъекте комплекса ограничительных (режимных) мероприятий. Природа психологии человека такова, что он всегда негативно относится к любым попыткам ограничить его права и свободы, даже, несмотря на явную необходимость таких действий.

Поэтому основой успеха функционирования данной системы является такая ее организация, при которой режимные меры не должны серьезно затруднять работу персонала, вызывать дискомфорт на технологических участках, их неприятие, а также неприязнь к сотрудникам СОИБ.

Приведем общий перечень режимных мероприятий для обеспечения информационной безопасности бизнеса:

- физическая защита сотрудников ХС, являющихся потенциальными носителями конфиденциальной информации;

- постоянный контроль и проверка персонала с целью недопущения возможностей для совершения мошенничества, предотвращения возможного сговора между сотрудниками и, например, клиентами ХС и других злоумышленных действий;

- ограничение прав доступа сотрудников к информации, которое должно регламентироваться только характером выполняемых ими должностных обязанностей. Наиболее ценную информацию рекомендуется разделять на составные части, доступ к каждой из которых должен быть регламентирован соответствующим перечнем сотрудников. При любом разглашении конфиденциальной информации должен быть достаточно четко известен (или минимизирован) круг лиц, которые могут быть причастных к инцидентам в области ИБ;

- налаженная и постоянно действующая система внутреннего контроля ХС, включающая проведение плановых, внезапных и скрытых контрольных проверок;

- проведение предупредительной активной политики аудита информационной безопасности ХС.

Наконец, организация функционирования СОИБ невозможна без применения комплекса инженерно-технических мер защиты

 

3.Декомпозиция КСЗИ: подсистемы, направления, силы и средства.
Осуществим структурную декомпозицию СОИБ в качестве способа представления ее организации, построения и взаимодействия отдельных элементов.

Структурная схема многоуровневой декомпозиции СОИБ показана в приложении 1. В основу предложенной декомпозиции СОИБ включены следующие положения:

- под СОИБ рассматриваем сложную организационно-иерархическую систему с видами обеспечения;

- каждый вид обеспечения является сложной системой и рассматривается в качестве подсистемы СОИБ;

- в каждой подсистеме СОИБ выделяются направления деятельности по обеспечению информационной безопасности в интересах хозяйствующего субъекта;

- каждое направление деятельности по обеспечению информационной безопасности реализуется определенными силами (организации в целом, подразделения, должностными лицами);

- конкретные задачи обеспечения информационной безопасности в интересах хозяйствующего субъекта решаются применением конкретных средств (методик, документов, аппаратуры, компьютерных программ и др.).

Таким образом, четырехуровневая вертикальная декомпозиция СОИБ представляет собой совокупность следующих уровней (рис.2.1)

Первый уровень декомпозиции СОИБ заключается в определении перечня видов обеспечения функционирования данной системы, или ее подсистем. При этом нами выделены:

- подсистема организационно-правового обеспечения;

- подсистема кадрового обеспечения;

- подсистема финансово-экономического обеспечения;

- подсистема инженерно-технического обеспечения;

- подсистема программно-аппаратного обеспечения;

- подсистема аудита информационной безопасности.

 

 

 

 

 

Рис.2.1. Структура вертикальной 4-х уровневой декомпозиции СОИБ

 

Данные подсистемы представляют собой горизонтальную декомпозицию СОИБ и полностью охватывают весь перечень работ по ее созданию в интересах хозяйствующего субъекта, организации функционирования этой системы и поддержания ее в состоянии готовности к решению возложенных на нее задач.

Подсистема организационно-правового обеспечения должна обеспечивать:

- во-первых, формирование правового поля для выполнения мероприятий по обеспечению информационной безопасности на основе учета требований законодательства РФ в данной предметной области;

- во-вторых, выполнение концептуальных разработок, практических ограничительных и режимных мероприятий по обеспечению информационной безопасности.

Подсистема кадрового обеспечения должна обеспечивать подбор необходимых специалистов, постоянную работу с ними и базироваться на существующей системе подготовки, а также определяться ситуацией на рынке специалистов в этой области.

Подсистема финансово-экономического обеспечения должна обеспечивать выполнение функции использования результатов анализа финансово-экономической деятельности хозяйствующего субъекта с целью определения возможных масштабов финансирования деятельности по обеспечению информационной безопасности. Кроме этого, обеспечивает выполнение работ по моделированию, оценке и оптимизации затрат на обеспечение ИБ.

Подсистема инженерно-технического обеспечения охватывает совокупность работ по инженерно-техническому оборудованию элементов (объектов) информационной инфраструктуры хозяйствующего субъекта, по обеспечению видеонаблюдения, противопожарной защиты на объектах, и защиты информации, в том числе и компьютерной, от утечек по различным каналам.

Подсистема программно-аппаратного обеспечения реализует выполнение функций защиты информации в информационной системе, а также самих элементов информационной системы от различных угроз применением различных программных и программно-аппаратных решений.

Подсистема аудита информационной безопасности предназначена для обеспечения контроля и проверок качества функционирования всех подсистем и элементов СОИБ применением методик анализа рисков информационной безопасности и различных форм проведения проверок.