Концепция и политика безопасности как основные элементы ксзи.

Понятие политика ИБ используется применительно для организации соответствующих мероприятий в интересах конкретного ХС. Если понятие концепция где-то встречается, то только по отношению к целым государствам.

При этом целью разработки политики ИБ является необходимость сформулировать задачи и обеспечить поддержку мероприятий в области ИБ со стороны руководства ХС.

При разработке документа, в котором изложена политика ХС в области ИБ, его руководство должно поставить четкую цель и показать свою заинтересованность в вопросах ИБ предприятия и в распространении политики среди сотрудников. При этом указывается, что данный документ должен быть доступен всем сотрудникам, отвечающим за обеспечение режима ИБ и содержать следующие основные разделы:

· определение ИБ;

· причины, по которым ИБ имеет большое значение для организации;

· цели и показатели ИБ, допускающие возможность измерения.

Концепция информационной безопасности, в котором излагается система взглядов, целей и задач, основных принципов и способов достижения требуемого уровня защищенности информации.

Политика должна описывать общий подход к ИБ. В качестве еще одного примера рассмотрим типовую политику безопасности компании Cisco, которая, как правило, состоит из семи разделов:

· введение, в котором описывается необходимость появления данного документа (в ряде случаев отсутствует);

· цель политики. Описываются цели создания данного документа (в частности, для парольной политики – «установление стандартов для создания «сильных» паролей, их защиты и регулярной смены»);

· область применения. Описываются объекты или субъекты, которые должны выполнять требования данной политики (например, «данная политика применяется ко всем сотрудникам, имеющим любую форму доступа к любым информационным ресурсам компании»);

· политика. Описываются сами требования (так, парольная политика Cisco содержит пять подразделов: «Создание паролей», «Изменение паролей», «Защита паролей», «Использование паролей при разработке приложений», «Использование паролей при удаленном доступе»);

· ответственность. Описываются меры воздействия на нарушителей указанных в предыдущем разделе требований;

· термины и определения;

· история изменений данной политики. Дает возможность отследить все внесенные в документ изменения (дата, автор, краткая сущность изменения).

Такая структура позволяет лаконично (на 2–3 страницах) описать все основные моменты, связанные с предметом политики безопасности. При этом надо постоянно помнить, что концепция – это не описание способа реализации. В ней нельзя «привязываться» к конкретным техническим решениям, продуктам и производителям. Иначе изменение политической ситуации в компании, рыночной ситуации, партнеров и конкурентов приведет к необходимости изменения концепции ИБ, а этого происходить не должно.

Концепция информационной безопасности позволяет:

- определить тактические и стратегические задачи службы безопасности в информационной сфере;

- разграничить обязанности и полномочия структурных подразделений предприятия;

- правильно спланировать мероприятия по обеспечению информационной безопасности на предприятии.

Для разработки Концепции, как правило, необходимо провести комплекс работ, включающий:

- анализ существующей организационно-распорядительной документации и неформальных требований, отражающих текущую или желаемую политику безопасности;

- определение целей и задач системы информационной безопасности;

- разработку моделей угроз информационной безопасности и моделей нарушителя;

- определение нормативно-правовой базы информационной безопасности;

- определение требований к комплексу мер и средств обеспечения информационной безопасности;

- разработку основных положений системы управления информационной безопасностью.

В основе организационных мер защиты информации лежит политика безопасности, от эффективности которой в наибольшей степени зависит успешность мероприятий по обеспечению информационной безопасности. Любое предприятие следует или формальной, или неофициальной политике безопасности. В то же время все больше руководителей приходит к выводу о том, что для успешного ведения бизнеса необходима политика безопасности, изложенная в виде доступных для понимания документов, учитывающих специфику предприятия. Это могут быть следующие документы:

- правила работы пользователей в корпоративной сети;

- политика обеспечения безопасности удаленного доступа к ресурсам корпоративной сети;

- политика обеспечения безопасности при взаимодействии с сетью Интернет;

- антивирусная политика, инструкция по защите от компьютерных вирусов;

- политика выбора и использования паролей;

- правила предоставления доступа к ресурсам корпоративной сети;

- политика установки обновлений программного обеспечения;

- политика и регламент резервного копирования и восстановления данных;

- соглашение о соблюдении режима информационной безопасности, заключаемое со сторонними организациями.

 

11.Кадровое обеспечение КСЗИ: понятие, структура, подготовка.

Кадровое обеспечение СОИБ является весьма важным, потому что конкретная реализация любого мероприятия, связанного с режимом ИБ ХС, его качество и результативность основывается на человеческом факторе.

До недавнего времени решение проблемы кадрового обеспечения в области информационной безопасности в России находилось в ведении силовых ведомств, таких как Федеральная служба безопасности, Министерство обороны, Министерство внутренних дел и некоторые другие. Сам подход, основанный только на понятиях государственной, военной тайны при практическом отрицании понятия коммерческой тайны, имел существенные ограничения в выборе возможных решений проблемы обеспечения информационной безопасности.

В разделе 2.3 был определен порядок и структура декомпозиции СОИБ, в которой предусмотрены 4 уровня иерархии. Применим данный подход к анализу кадрового обеспечения СОИБ. На основе системного подхода подсистему кадрового обеспечения будем рассматривать как сложную систему (рис.5.1).

Таким образом, мы определили следующие три направления деятельности в организации и функционировании данной подсистемы:

· подготовка кадров;

· подбор персонала ХС для обеспечения ИБ;

· формирование профессиональной этики специалиста в области ИБ.

Таким образом, можно констатировать, что к настоящему времени в РФ сложилась система подготовки специалистов с высшим образованием в области ИБ. Однако нельзя не упомянуть о проблемах, связанных с реализацией образовательных программ.

Как уже отмечалось, больше половины потерь, которые несут компании из-за инцидентов в области информационной безопасности, вызваны действиями персонала.

В настоящих условиях кроме получения основного образования весьма актуальными остаются и другие формы подготовки, переподготовки или повышения квалификации кадров по вопросам обеспечения ИБ. Такие формы образовательной деятельности реализуются как учебными заведениями, так и учебными центрами и различными коммерческими организациями, и проводятся в форме:

- семинаров;

- краткосрочных учебных курсов продолжительностью до 1-2 месяцев;

- среднесрочных учебных курсов продолжительностью от 6 месяцев до 1-2 лет.

При этом широко используются как традиционные технологии очного обучения, так и с использованием дистанционных обучающих технологий.

12.Подбор кадров в подразделения КСЗИ: показатели оценки качества кадров КСЗИ, особенности организации кадровой работы, требования, предъявляемые к сотрудниками КСЗИ.

Кадровая работа в области обеспечения функционирования СОИБ ХС является важной составляющей деятельности по обеспечению безопасности ХС в целом.

При отборе кандидатов для работы в СОИБ следует оценивать их по следующим основным группам качеств:

· профессиональным;

· образовательным;

· организационным;

· личным.

Основным требованием при отборе кандидатов является тщательное изучение деловых, моральных и этических данных каждого из них на основе анализа сведений о трудовом прошлом кандидата. В процессе анализа можно пользоваться услугами органов внутренних дел. В соответствии с приказом МВД РФ 1994 г. № 319 органы внутренних дел должны оказывать платные услуги о наличии (отсутствии) судимости кандидата и предоставлять сведения о лицах, находящихся в розыске.

При организации кадровой работы целесообразно придерживаться следующих рекомендаций:

- проводить тестирование для кандидатов по специально подготовленным тестам;

- при приеме на работу учитывать наличие заслуживающих доверия рекомендаций;

- заключать с сотрудником организации договор о сохранении коммерческой тайны;

- постоянно заботиться о формировании и поддержании оптимального социально-психологического климата в коллективе;

- постоянно повышать квалификацию сотрудников;

- ознакомлять сотрудников под роспись с правилами и процедурами работы с конфиденциальной информацией;

- доводить до сведения сотрудников порядок действий во внештатных ситуациях: пожар, стихийное бедствие и др.;

- разработать и внедрить систему материального и морального стимулирования сотрудников;

- формировать у сотрудников чувство персональной ответственности за свои действия и понимание неотвратимости наказания за нарушения режима и правил информационной безопасности;

- повышать правовую грамотность персонала.

Перечень требований к сотруднику СОИБ ХС не должен разительно отличаться от перечня требований к другим сотрудникам. Существуют универсальные требования к сотрудникам ХС, к которым относятся:

· дисциплинированность;

· ответственность;

· высокий профессионализм;

· нацеленность на результат;

· готовность следовать общественным нормам морали и нравственности;

· толерантность.

К сотрудникам могут предъявляться и иные требования, которые условно можно считать расширенными. Данные требования показывают позицию руководства ХС к качеству персонала. К таким требованиям можно отнести:

· понимание необходимости ведения здорового образа жизни;

· способность к самосовершенствованию;

· готовность к самостоятельному обучению;

· готовность к установлению коммуникаций с людьми;

· стремление к лидерству;

· амбициозные устремления;

· уровень владения навыками общения;

· способность адекватно оценивать свое место и роль в обществе.

Однако необходимо иметь в виду, что сотрудник, выполняющий должностные обязанности по обеспечению ИБ ХС, в связи с особенностями своей деятельности будет осведомлен в достаточно специфической и критически важной для ХС области.

Это выражается во владении сотрудником информацией об информационной инфраструктуре ХС в целом, о методах, способах и особенностях организации режима ИБ ХС, а также о плановых, внеплановых и внезапных мероприятиях, проводимых для поддержания этого режима.

Поэтому сотрудник должен соответствовать следующим специфическим требованиям:

· быть готовым следовать этическим нормам в сфере информационной безопасности;

· проявлять высокую требовательность к себе и другим сотрудникам в соблюдении режима ИБ, установленного в ХС;

· быть готовым к сохранению служебной, коммерческой, технологической и др. тайны.