Организационные структуры государственной системы обеспечения информационной безопасности федеральных органов исполнительной власти

Организационные системы обеспечения безопасности информации

Наиболее развитой составляющей отечественного комплекса обеспечения информационной безопасности является государственная система защиты информации, в составе которой можно выделить такие типовые организационные структуры, как:

· службы контроля, надзора и обеспечения безопасности органов исполнительной власти;

· специализированные предприятия и организации — лицензиаты в различных областях компетенции уполномоченных органов исполнительной власти, которые являются разработчиками средств и поставщиками услуг по защите информации;

· сертификационно-испытательные центры;

· аттестационные центры;

· службы безопасности и защиты информации предприятий и организаций, независимо от их формы собственности.

Службы контроля и надзора органа исполнительной власти несут основную нагрузку по формированию и развитию системы защиты информации в соответствующем органе власти. Такие службы входят в состав административного аппарата органов исполнительной власти и, как правило, в их функции входят:

· разработка нормативно-методических документов отраслевого (ведомственного) уровня по выполнению требований обеспечения безопасности и защиты информации;

· разработка, организация и проведение контрольных и надзорных мероприятий в пределах установленной сферы компетентности органа государственной власти и оформление результатов проведения таких мероприятий;

· выдача предписаний об устранении нарушений требований нормативных документов;

· подготовка мотивированных предложений о полном или частичном прекращении деятельности подведомственных организаций в случае, если иными мерами нарушения требований нормативных документов не могут быть устранены;

· проведение в ходе государственного контроля (надзора) разъяснительной работы по выполнению требований нормативных актов в области обеспечения безопасности и защиты информации.

Выполнение указанного перечня функций обеспечивают специалисты, соответствующие следующей номенклатуре основных должностей: руководитель управления, службы; руководитель отдела, сектора; специалист по направлению деятельности службы безопасности; инженер-метролог (нормоконтролер технической и организационно-распорядительной документации).

Особое место в государственной системе защиты информации занимают специализированные предприятия — разработчики комплексов и средств обеспечения, а также поставщики услуг в области безопасности и защиты информации. Именно от степени их развития, уровня и качества поставляемой продукции и услуг зависит безопасность, устойчивость и надежность функционирования всей инфраструктуры информационной безопасности. Поэтому недаром одним из обязательных требований к указанным предприятиям и организациям является лицензирование их деятельности уполномоченным органом исполнительной власти в соответствии с законодательством о государственном регулировании отдельных видов деятельности.

Предлагаемые на рынке этими предприятиями услуги организационно-технологического характера можно классифицировать в соответствии с этапами жизненного цикла систем обеспечения информационной безопасности:

· обследование — услуга, которая может включать анализ защищенности используемых информационных технологий, обследование системы документооборота, обследование организации в целом (т.е. анализ влияния существующего документооборота на защищенность бизнес-процессов), проверку деятельности организации в соответствии с требованиями нормативно-правовых документов и тому подобное;

· проектирование комплексной системы обеспечения, при котором должен быть охвачен не только технический уровень, но и все механизмы защиты, включая организационно-правовые;

· внедрение системы защиты информации на договорной основе с использованием специализированных подрядных организаций, имеющих соответствующую лицензию (может дать большой эффект за счет высокой квалификации привлекаемых специалистов);

· сопровождение систем информационной безопасности и работ по защите информации третьими лицами (аутсорсинг), т.е. оказание специализированной оперативной помощи в случае внештатных ситуаций, периодическое обновление специального и общесистемного программного обеспечения в случае появления новых атак и уязвимостей.

Организация и технологии разработки специализированных комплексов, систем и средств защиты информации принципиально не отличаются от используемых в других отраслях создания высокотехнологичной продукции, в частности средств вычислительной техники. Основная номенклатура должностей традиционна для высокотехнологичных предприятий: конструктор по наладке и испытаниям; конструктор по стандартизации; программист; технолог; электроник; техник по наладке и испытаниям.

Бурный процесс информатизации и, как следствие, все возрастающая актуальность обеспечения требований информационной безопасности приводят к необходимости видоизменения и дополнения номенклатуры специалистов. Широкое распространение общепризнанной международной практики проведения такого вида услуги, как аудит информационной безопасности, привело к появлению специалистов нового профиля — аудиторов, которые осуществляют свою деятельность в соответствии с рекомендациями отечественных и международных стандартов.

Сертификационно-испытательные центры и лаборатории занимают особое место среди предприятий и организаций — лицензиатов в области обеспечения безопасности и защиты информации. Эти организационные структуры обеспечивают необходимую поддержку такой функции государственно-общественного регулирования в области информационной безопасности, как сертификацию средств и оценки качества оказания услуг по защите информации.

Наряду с лицензированием своей деятельности в области защиты информации указанные центры и лаборатории должны пройти дополнительно обязательную организационно-правовую процедуру — аккредитацию в качестве сертификационно-испытательных структур, которая в настоящее время осуществляется исключительно уполномоченными органами исполнительной власти.

Аттестационные центры наряду с сертификацией средств, работ и услуг в области обеспечения информационной безопасности осуществляют относительно похожие процедуры подтверждения соответствия, называемые аттестацией объектов информатизации.

Как правило, по объему и характеру работ традиционные аттестационные центры (лаборатории) не имеют существенных отличительных особенностей по сравнению с сертификационно-испытательными центрами, а наиболее известные отечественные компании — поставщики услуг в области защиты информации — имеют аккредитацию по обоим видам деятельности и, соответственно, примерно одинаковую номенклатуру основных должностей.

Активно развивается также рынок образовательных услуг в области информационной безопасности по повышению квалификации специалистов, руководителей служб безопасности, руководителей ІТ-подразделений, пользователей средств защиты, так как необходимым условием для получения лицензии на деятельность в области защиты информации является наличие персонала необходимого уровня квалификации и подготовки. Однако система дополнительного образования в области информационной безопасности пока находится в стадии формирования, что затрудняет выделение ее типовых элементов.

Службы безопасности и защиты информации предприятий и организаций независимо от вида деятельности и форм собственности являются самой распространенной организационной структурой в рассматриваемой области общественной деятельности и по существу составляют основу всей системы обеспечения информационной безопасности предприятий, организаций и страны в целом. Поэтому целесообразно рассмотреть вопросы их функционирования более подробно.

Непосредственная деятельность по организации функционирования и эксплуатации комплексов обеспечения информационной безопасности осуществляется штатными специалистами соответствующих структурных подразделений. Они должны иметь определенную квалификацию в соответствии с требованиями, установленными номенклатурой должностей и служащих. Типовые требования можно найти в квалификационном справочнике должностей руководителей, специалистов и других служащих, утвержденном Министерством труда и социального развития Российской Федерации в 2003 г.

Организационные структуры системы обеспечения информационной безопасности предприятия (организации)

Задачи и функции организационных структур, осуществляющих реализацию специальных защитных мероприятий (служб безопасности) на уровне предприятия (организации), определяются потребностями реальных бизнес-процессов, их спецификой и масштабами.

Традиционной задачей служб безопасности хозяйствующих субъектов является обеспечение так называемой физической защиты, под которой подразумевается охрана имущества, материальных и финансовых ценностей, а также в отдельных случаях защита персонала, прежде всего руководства, от преступных посягательств. Для решения этой задачи служба безопасности должна обеспечить выполнение следующих функций:

· организацию пропускного режима, разграничение физического доступа на защищаемые объекты;

· организацию инженерно-технической защиты охраняемых зданий и помещений объекта;

· обнаружение проникновения внешнего нарушителя на охраняемую территорию и принятие соответствующих мер противодействия;

· противодействие противоправным действиям внутренних нарушителей по отношению к имуществу и активам предприятия;

· организацию личной охраны персонала.

Менее традиционной является задача обеспечения безопасности управления бизнес-процессами, включающая защиту нематериальных активов и информационных ресурсов предприятия (информационная безопасность) и участие в управлении персоналом в части обеспечения лояльности и благонадежности. Реализация такой задачи подразумевает выполнение следующих функций:

· разведка и контрразведка, в том числе изучение криминальных аспектов рынка, организация противодействия экономическому шпионажу, сбор на законных основаниях информации о деловых партнерах и других лицах, имеющих контакты с предприятием;

· организация противодействия недобросовестной конкуренции, выявление фактов противоправного использования нематериальных активов и интеллектуальной собственности;

· организация секретного и конфиденциального делопроизводства и ведения конфиденциальных переговоров;

· обеспечение безопасности автоматизированных информационных технологий, а также информации, циркулирующей в компьютерных сетях;

· противодействие технической разведке, т.е. способам несанкционированного съема информации с помощью технических средств;

· проведение служебных расследований обстоятельств разглашения сведений, составляющих коммерческую тайну и т.д.;

· оценка лояльности и благонадежности персонала путем проведения в рамках, установленных законом, оперативно-розыскных мероприятий и выявление неблагонадежных сотрудников (группы риска) с помощью различных методов тестирования;

· подготовка персонала, в том числе нештатных сотрудников, формирование правосознания и культуры поведения всех сотрудников предприятия по вопросам обеспечения его безопасности;

· оценка эффективности работы структурных подразделений, входящих в состав службы безопасности и защиты информации.

В случае создания полномасштабной собственной системы безопасности и защиты информации наиболее эффективной является трехуровневая структура стратегического, тактического и оперативного управления.

На уровне стратегического управления осуществляется формулирование конкретных интересов предприятия, его бизнес-процессов и критериев обеспечения их защищенности, выделение необходимого ресурсного обеспечения. Очевидно, что решение этих задач должно быть сосредоточено на уровне высшего руководства, в структуре топ-менеджмента предприятия, где происходит утверждение соответствующей концепции развития предприятия.

Тактическое управление осуществляет руководитель службы безопасности или должностное лицо, на которое возложены соответствующие обязанности, его заместители и руководители структурных подразделений. Основная задача тактического управления — формирование корпоративной нормативно-методической базы требований по обеспечению безопасности, их реализация и контроль за их выполнением.

Оперативное управление включает практическую реализацию защитных функций, в том числе эксплуатацию специализированных технических средств и проведение организационных процедур, и осуществляется как штатными, так и нештатными сотрудниками службы безопасности, выполняющими соответствующие функции наряду с основной деятельностью.

Полномасштабный комплекс обеспечения безопасности предприятия включает следующие штатные и нештатные структуры:

· совет или комиссии по различным вопросам обеспечения безопасности, возглавляемые топ-менеджментом предприятия;

· руководство службой безопасности и руководимые им консультативно-экспертные группы;

· охранное подразделение;

· инженерно-техническое подразделение;

· аналитическую группу;

· подразделение секретного делопроизводства и ведения конфиденциальных переговоров;

· подразделение противодействия технической разведке и технической защиты информации;

· подразделение администрирования информационно-управляющих систем по требованиям безопасности информации;

· подразделение оценки лояльности и благонадежности персонала, его подготовки в области обеспечения безопасности;

· подразделение аудита систем обеспечения безопасности и оценки их эффективности.

Конкретная реализация структуры службы безопасности находится в компетенции первого руководителя предприятия. Номенклатура штатных и нештатных должностей службы безопасности на уровне предприятия может включать все перечисленные должности специализированных организационных структур. Кроме этого, в подразделениях системы управления предприятием, не связанных напрямую с обеспечением безопасности, на практике часто вводится штатная либо нештатная должность администратора информационной безопасности. Основной обязанностью такого специалиста является обеспечение защиты информационных ресурсов и администрирование соответствующих средств защиты информации на уровне конкретного подразделения.

Для малых предприятий с небольшими объемами бизнеса и численностью работников обязанности по выполнению ряда вышеперечисленных функций возлагаются на отдельных ответственных сотрудников. На предприятиях среднего масштаба создается отдельное относительно небольшое подразделение, координирующее и контролирующее выполнение функций по обеспечению безопасности другими подразделениями предприятия. Крупные фирмы и корпорации развивают службу безопасности до полномасштабной структуры, имеющей все необходимые полномочия и ресурсы для решения поставленных задач.

При этом следует иметь в виду, что выполнение охранных функций, в том числе защиту личного состава, в соответствии с действующим законодательством могут осуществлять либо вневедомственная охрана МВД России, либо частные охранные предприятия, действующие на основе законодательства о частной детективной и охранной деятельности. Частным охранным предприятиям разрешается оказывать различные услуги, в том числе по вооруженной охране имущественных ценностей при транспортировке и по защите жизни и здоровья персонала. Кроме этого, охранные предприятия обеспечивают проектирование, монтаж и обслуживание средств охранно-пожарной сигнализации, консалтинговые услуги по вопросам правомерной защиты от противоправных посягательств.

В ходе информатизации малые и средние предприятия все чаще используют такую форму договорных услуг, как аутсорсинг информационных технологий, включая вопросы обеспечения информационной безопасности.

Одной из распространенных форм организационного обеспечения безопасности предприятия, отражающей комплексный характер рассматриваемой проблемы и один из методов ее решения, является создание отдельных комиссий. Такие нештатные структуры выполняют на временной или постоянной основе отдельные экспертные или контрольно-ревизионные функции по обеспечению безопасности, в частности инвентаризацию имущественных ценностей, нематериальных активов и информационных ресурсов, экспертизу материалов, подготовленных к публикации в средствах массовой информации, аттестацию персонала. Включение в комиссии сотрудников различных подразделений структуры управления предприятием позволяет скоординировать их взаимодействие и в целом повысить эффективность совместной деятельности.

Физическая защита

Решение задачи физической защиты предполагает проведение следующих специальных мероприятий и действий сотрудников службы по организации режимов обеспечения безопасности объекта:

· определение и категорирование охраняемых зон по уровню доступа;

· разработка заданий на укрепление периметров охраняемых зон (ограждение, решетки, замки и т.д.), контроль проектирования системы укрепленное™ периметра, прием и контроль хода эксплуатации системы;

· определение точек доступа в охраняемые зоны, разработка заданий по их оборудованию необходимыми техническими средствами, контроль проектирования и эксплуатации технических средств, разработка инструкций о порядке пропускного и внутриобъектового режимов;

· разработка заданий по применению средств охранно-пожарной сигнализации, систем видеонаблюдения, автоматизированных систем ограничения и контроля доступа в охраняемые зоны, прием и контроль эксплуатации;

· согласование порядка выноса (вноса) из охраняемых зон материальных ценностей и других видов ресурсов;

· разработка заданий, контроль проектирования, прием и контроль эксплуатации систем специальной связи, оборудования комнат и порядка приема посетителей;

· категорирование информационных ресурсов по степени секретности и конфиденциальности как нормативной основы ограничения их обращения;

· определение возможных физических каналов утечки информации с ограниченным доступом, разработка заданий на проектирование систем противодействия технической разведке, прием и контроль их эксплуатации;

· разработка порядка проведения служебных расследований по фактам нарушения пропускного и внутриобъектового режимов, а также взаимодействия с правоохранительными органами.

Указанные мероприятия позволяют обеспечить реализацию такой важной характеристики защищенности, как конфиденциальность информации, путем использования тех или иных технологий ограничения доступа. Однако, как правило, решение проблемы повышения эффективности бизнес-процессов требует увеличения их открытости, прозрачности как для внешней среды, так и для собственного управленческого персонала. Это позволяет в максимальной степени обеспечить масштабность производственной деятельности, ее настройку на быстро изменяющиеся условия рыночной и политической конъюнктуры. Поэтому не менее важными, а подчас и более актуальными задачами обеспечения информационной безопасности являются повышение доступности и целостности информационных активов корпорации в условиях бурного внедрения компьютерных технологий. Реализация всех характеристик защищенности является также необходимым условием обеспечения качества бизнес-процессов за счет поддержания их непрерывности, под которой понимается и своевременное принятие управленческих решений.