Організаційні заходи

Застосування організаційно-технічних заходів запобігає і блокує значну частину загроз безпеці інформації та поєднує в єдину систему усі заходи захисту.

Організаційні заходи повинні включати:

· визначення технологічних процесів обробки інформації;

· обгрунтування та вибір задач захисту;

· розробку та впровадження правил реалізації заходів ЗІ;

· визначення та встановлення обов’язків підрозділів та осіб, що приймають участь в обробці інформації;

· вибір засобів забезпечення ЗІ;

· оснащення структурних елементів АС нормативними документами і засобами забезпечення ЗІ;

· встановлення порядку впровадження засобів обробки інформації, програмних та технічних засобів захисту інформації та контролю його ефективності;

· визначення зон безпеки інформації;

· обгрунтування структури та технології функціонування СЗІ;

· розробку правил та порядку контролю функціонування СЗІ;

· встановлення порядку проведення атестації технічних засобів та систем обробки інформації, систем зв’язку та передачі даних, технічних засобів та систем, що розташовані в приміщеннях, де вона циркулює, приміщень для засідань, а також всієї АС в цілому на відповідність вимогам по безпеці інформації.

Організаційні заходи щодо ЗІ в АС полягають в розробці і реалізації адміністративних та організаційно-технічних заходів при підготовці та експлуатації системи.

Організаційні заходи щодо захисту системи в процесі її функціонування та підготовки до нього охоплюють рішення та процедури, які приймаються керівництвом організації – користувачем системи. Хоча деякі з них можуть визначатися зовнішними факторами, наприклад законами або урядовими постановами, більшість проблем розв’язується в самій організації в конкретних умовах.

Складовою частиною будь-якого плану заходів щодо захисту має бути чітка вказівка цілей, розподіл відповідальності та перелік організаційних заходів захисту. Конкретний розподіл відповідальності та функцій по реалізації захисту від одної організації до іншої може змінюватися, але ретельне планування і точний розподіл відповідальності є необхідними умовами створення ефективної та життєздатної системи захисту.

Організаційні заходи щодо ЗІ в АС повинні охоплювати етапи проектування, розробки, виготовлення, випробувань, підготовки до експлуатації, експлуатації системи та виведення з експлуатації.

Відповідно до вимог технічного завдання організація – проектувальник поряд з технічними заходами та засобами розробляє організаційні заходи на етапі створення системи. Під етапом створення розуміється проектування, розробка, виготовлення та випробування системи. При цьому слід чітко розрізняти заходи щодо ЗІ, що проводяться організацією-проектувальником, розробником та виготовлювачем в процесі створення системи і розраховуються на захист від витоку в даній організації, і заходи, що закладаються в проект та документацію на систему і торкаються принципів організації захисту в самій системі. Саме з них випливають необхідні організаційні заходи щодо ЗІ.

До організаційних заходів щодо ЗІ в процесі створення системи слід віднести:

* проведення на необхідних ділянках робіт з режимом секретності;

* розробка посадових інструкцій по забезпеченню режиму секретності відповідно до діючого законодавства;

* виділення при необхідності окремих приміщень з охоронною сигналізацією та пропускною системою;

* розмежування задач по виконавцям та випуску документації;

* присвоєння грифів секретності матеріалам та документації і збереження їх під охороною в виділених приміщеннях з урахуванням та контролем доступу виконавців;

* постійний контроль за дотриманням виконавцями режиму та відповідних інструкцій;

* встановлення і розподіл відповідальних осіб за витік інформації;

* інші заходи, що встановлюються в конкретних системах.

В процесі підготовки системи до експлуатації з метою ЗІ необхідно:

* при виділенні території, будинків та приміщень визначить контрольовану зону навколо об’єктів АС;

* встановити та устаткувати охоронну сигналізацію по границях контрольованої зони;

* створити контрольно-пропускну систму;

* перевірити схеми розміщення та місця установки об’єктів АС;

* перевірити стан системи життєзабезпечення людей, умови функціонування системи та збереження документації;

* підібрати кадри для обслуговування об’єктів АС, її захисту, і створити централізовану службу безпеки (СБ) при керівництві;

* провести навчання кадрів;

* організувати розподіл функціональних обов’язків і відповідальності посадових осіб;

* встановити повноваження посадових осіб щодо доступу до об’єктів та інформації АС;

* розробити посадові інструкції по виконанню функціональних обов’язків персоналу всіх категорій, включаючи СБ.

З точки зору способів реалізації основні організаційно-технічні заходи щодо створення і підтримки функціонування КСЗІ включають:

· разові заходи (проектування АС, створення СЗІ, розробка нормативних документів, створення служби безпеки та іе.);

· заходи, що проводяться при виникненні певних змін у самій АС, яка захищається або зовнішньому середовищі (за необхідністю) (ремонти, модифікації АС, кадрові зміни та ін.);

· періодичні заходи (розподіл паролів, ключів шифрування, аналіз системних журналів і т.д.);

· постійні заходи (контроль за роботою персоналу, підтримка функціонування СЗІ, забезпечення фізичного захисту і т.д.).

В процесі експлуатації системи повинен здійснюватися централізований контроль доступу до інформації за допомогою технічних та організаційних заходів. Основна частина цих заходів входить до функцій СБ.

Служба безпеки

СБ є штатним або позаштатним підрозділом, який створюється для організації кваліфікованої розробки СЗІ і забезпечення її функціонування.

Основні задачі СБ полягають в наступному:

· формування вимог до СЗ в процесі створення АС;

· участь у проектуванні СЗ, її випробуваннях і прийманні в експлуатацію;

· планування, організація і забезпечення функціонування СЗІ в процесі функціонування АС;

· розподіл між користувачами необхідних реквізитів захисту;

· спостереження за функціонуванням СЗ і її елементів;

· організація перевірок надійності функціонування СЗ;

· навчання користувачів і персоналу АС правилам безпечної обробки інформації;

· контроль за дотриманням користувачами і персоналом АС встановлених правил поводження з інформацією, яка захищається, в процесі її автоматизованої обробки;

· вживання заходів при спробах НСД до інформації і при порушеннях правил функціонування системи захисту.

Організаційно-правовий статус служби безпеки визначається наступним чином:

· чисельність СБ повинна бути достатньою для виконання усіх перерахованих вище задач;

· СБ повинна підпорядковуватися тій особі, що у даних умовах несе персональну відповідальність за дотримання правил користування з інформацією, яка захищається;

· штатний СБ не повинен мати інших обов'язків, пов'язаних із функціонуванням АС;

· співробітники СБ повинні мати право доступу в усі помешкання, де встановлена апаратура АС, і право припиняти автоматизовану обробку інформації при наявності безпосередньої загрози для інформації, яка захищається;

· керівнику СБ повинно бути надане право забороняти включення в число діючих нових елементів АС, якщо вони не відповідають вимогам захисту інформації;

· СБ має бути забезпечені усі умови, необхідні для виконання своїх функцій.

В основу створення СБ та організації її функціонування традиційно кладеться простий та наочний принцип створення замкнутих, послідовних рубежів, що починаються за межами контрольованої зони і концентрично стягаються до особливо важливих виділених об'єктів захисту, тобто так звана рубіжна система захисту.

На кожному рубежі загрози порушень безпеки мають бути по можливості виявлені і ліквідовані, а у випадку неможливості їхньої ліквідації, їх поширенню повинні перешкоджати наступні рубежі. Основу планування та устаткування контрольованих зон складають принципи рівнопотужності і комплексності.

Використання рубіжної СЗІ обумовлене тим, що вона дозволяє забезпечити безпеку: від широкого спектра різнорідних загроз; при використанні різних технологій обробки інформації шляхом глобального контролю; за рахунок оптимального розподілу ресурсів з урахуванням пріоритету загрози. Очевидно, що чим складніше захист кожного рубежу, тим більше часу буде потрібно ЗЛ для його подолання, і тем імовірніше його виявлення. Звідси випливає, що захист кожного рубежу повинен взаємно доповнювати один одного й ефективність усієї системи захистів буде оцінюватися як мінімальний (безпечний) час, який ЗЛ повинен затратити на подолання всіх її рубежів.

Врешті-решт джерелом навмисних загроз є людина – ЗЛ. Можливе порушення ІБ залежить від його можливостей, що аналізуються на основі:

* невизначеності процесу захисту, викликаної наявністю людського фактора;

* рубіжної системи захисту;

* можливостей ЗЛ уплинути на діяльність самої організації.

Тому з точки зору рубіжної моделі ЗЛ можна класифікувати у такий спосіб:

* ЗЛ перебуває за межами контрольованої зони;

* ЗЛ знаходиться в межах контрольованої зони, але без доступу у виділені приміщення;

* ЗЛ має доступ у виділені приміщення і працює в них;

* ЗЛ – співробітник організації, має доступ у виділені приміщення і працює в них;

* ЗЛ – співробітник СБ.

Знаючи можливі загрози, можна припустити, яким чином кожен вид ЗЛ може порушити безпеку об'єктів захисту на тім чи іншому рубежі. Це дозволяє диференційовано підходити до комплексу засобів і методів захисту, визначаючи необхідні заходи і засоби захисту стосовно для кожного виду ЗЛ.

Історично вже склалася світова практика забезпечення безпеки об'єктів захисту. Вона визначає взаємозв'язок об'єктів захисту з можливою формою ЗЛ і середовищем, у якій він здійснює свої дії. Внаслідок специфічних особливостей середовища можна формувати основні напрямки захисту, що призводять до наступної структурі функціональних підрозділів СБ:

* група режиму;

* служба охорони;

* пожежна охорона;

* аналітична група;

* детективна група;

* група протидії технічним розвідкам (ПДТР);

* група захисту від НСД;

* криптографічна група.

Залежно від конкретних потреб додатково можуть організовуватися допоміжні підрозділи: консультантів з різних питань діяльності СБ, юридична служба, служба навчання та ін. Помітимо, що тут представлено всі підрозділи, що можуть існувати та входити до складу СБ в принципі. Однак ясно, що цей список може варіюватися залежно від розмірів організації, рівня конфіденційності оброблюваної інформації, можливого обсягу фінансування та інших конкретних умов діяльності організації. Крім того, в деяких випадках різні підрозділи можуть об’єднуватися залежно від конкретних задач.

Діяльність СБ дуже різноманітна: від роботи з забезпечення безпеки персоналу до рішення чисто технічних питань, що включають у себе перевірку та атестацію технічних і програмних засобів на відповідність спеціальним вимогам. У цілому основні найбільш загальні функції СБ можна визначити наступним чином:

* попередження;

* контроль за поточною ситуацією;

* реєстрація;

* аналіз результатів реєстрації.

Існують положення про службі безпеки, що регламентують її діяльність. Не вдаючись в детальний розгляд цього аспекту, опишемо коротенько основні задачі кожного з підрозділів СБ.

Група режиму є самостійним підрозділом СБ, підпорядковується начальнику СБ і в своїй діяльності керується «Інструкцією з режиму й охорони». В основні функції групи режиму входить:

* організація пропускного і внутріоб'єктового режиму;

* організація і ведення конфіденційного діловодства;

* розробка відповідних положень та інструкцій;

* розробка нормативів по безпеці і перевірка їх виконання;

* контроль за режимом доступу до документів;

* забезпечення користування і збереження документації;

* контроль за порядком засекречування і розсекречування документів;

* періодичний контроль вхідних і вихідних документів;

* регламентне знищення носіїв інформації;

* участь у кадровій діяльності.

У цілому можна сказати, що основний об'єкт діяльності групи режиму - це персонал організації, а метою є створення робочої атмосфери в організації.

Діяльність служби охорони традиційна і спрямована в основному на забезпечення пропускного і внутріоб'єктового режиму.

Головною задачею групи пожежної охорони є створення протипожежної обстановки на основі роботи з персоналом, використання засобів протипожежної сигналізації, роботи з органами держтехнадзору, пожежно-технічними службами.

Наявність несумлінної конкуренції і можливих злочинних дій вимагають активної протидії. Вона можлива тільки в тому випадку, коли СБ має про них інформацію. Збором, аналізом і оцінкою ступеня небезпеки для організації займається аналітична група. Основна функція аналітичної служби полягає в роботі на перспективу, тобто в прогнозуванні можливих негативних та інших подій.

Детективна група займається проведенням заходів щодо спостереження за окремими співробітниками, бере участь у перевірці кадрів при прийомі на роботу, підтримує контакти з правоохоронними органами, сприяє забезпеченню повернення прострочених кредитів.

Перш, ніж описати основні функції групи ПДТР, звернемо увагу на те, що в будь-якій організації існують технічні канали витоку інформації, які обумовлені властивостями технічних засобів і навколишнього середовища. Це й електромагнітні випромінювання, і акустичні коливання, і візуальні спостереження. Тому загальна постановка даного напрямку захисту інформації представляється схемою: «Джерело інформації-Середовище-Сигнал-Приймач ЗЛ».

Виходячи з цієї схеми визначаються основні задачі групи ПДТР:

* визначення джерел інформації;

* визначення середовищ, де може існувати інформація;

* визначення небезпечних сигналів у виявлених середовищах;

* вимір величини небезпечного сигналу;

* зменшення чи приховання величини небезпечного сигналу відповідно до існуючих нормативних документів.

Група захисту від НСД має своєю метою захист інформації, яка оброблюється в самій КС і передається по лініях зв'язку. В групу можуть входити співробітники з різними функціональними обов'язками щодо КС. Звичайно виділяють чотири групи співробітників (за зростанням ієрархії):

· Співробітник групи безпеки. У його обов'язки входить забезпечення належного контролю за захистом наборів даних і програм, допомога користувачам і організація загальної підтримки груп керування захистом і менеджменту у своїй зоні відповідальності.

· Адміністратор безпеки системи. У його обов'язки входить щомісячне опублікування нововведень в області захисту, нових стандартів, а також контроль за виконанням планів безперервної роботи і відновлення (якщо в цьому виникає необхідність) і за зберіганням резервних копій.

· Адміністратор безпеки даних. У його обов'язки входить реалізація і зміна засобів захисту даних, контроль за станом захисту наборів даних, жорсткість захисту в разі потреби, а також координування роботи з іншими адміністраторами.

· Керівник (начальник) групи по керуванню обробкою інформації і захистом. У його обов'язки входить розробка і підтримка ефективних мір захисту при обробці інформації для забезпечення цілісності даних, устаткування і програмного забезпечення; контроль за виконанням плану відновлення і загальне керівництво адміністративними групами в підсистемах АС.

Група криптографічного захисту забезпечує захист інформації при передачі її по каналах зв'язку шляхом криптографічних перетворень інформації.

До інших функцій СБ належить також діяльність, яка пов’язана з терористичною діяльністю щодо державних та комерційних організацій.

Програма забезпечення безпеки СБ в цілому може складатися з наступних розділів:

1) забезпечення охорони керівництва;

2) забезпечення безпеки інших категорій службовців і схоронності матеріально-технічних цінностей (валюта, цінні папери, устаткування, зразки експортно-імпортних товарів і сировини і т.д.);

3) збір даних про можливі диверсійно-терористичні прояви;

4) тактика дій адміністрації і служби безпеки підприємства у випадку виникнення надзвичайного стану, критичної ситуації.

Практична діяльність сучасної СБ нерозривно пов'язана з двома основними факторами – людським і технічним. При цьому визначальним є наявність людського фактора, тому що ніякі технічні засоби без відповідної організації їх використання працівниками охорони не можуть гарантувати її надійність.

Контрольні запитання

1. Як можна класифікувати всі заходи забезпечення безпеки АС за способами реалізації?

2. В чому полягає суть правових заходів забезпечення безпеки в АС?

3. В чому полягає суть морально-етичних заходів забезпечення безпеки в АС?

4. В чому полягає суть організаційних заходів забезпечення безпеки в АС?

5. В чому полягає суть фізичних та технічних заходів забезпечення безпеки в АС?

6. Основні задачі служби безпеки організації.

7. Що таке рубіжна модель системи захисту інформації?

8. В чому полягають основні функції служби безпеки організації?

9. Які підрозділи входять до складу служби безпеки організації?