Служба защиты информации : организация и управление
Покупка
Издательство:
ФЛИНТА
Год издания: 2021
Кол-во страниц: 186
Дополнительно
Вид издания:
Учебное пособие
Уровень образования:
ВО - Бакалавриат
ISBN: 978-5-9765-1271-9
Артикул: 618009.02.99
Рассматриваются вопросы построения структурных подразделений по защите информации в составе службы безопасности предприятия, описаны правовые основы создания и функционирования соответствующих подразделений. Приведены рекомендации по организации работы на предприятии подразделений режима и охраны, специального отдела, подразделений информационно-аналитической деятельности и инженерно-технической защиты, службы защиты информации. Даны рекомендации по разработке должностных инструкций и приведены их примеры для различных специалистов в области защиты информации. Особое внимание уделено проблемам и методам управления службой безопасности в современных условиях. Рассмотрены новые подходы к подбору, расстановке и обучению персонала с учетом обеспечения на предприятии необходимого уровня защиты информации. Предназначена для студентов вузов по специальности 090103 - Организация и технология защиты информации, слушателей курсов повышения квалификации по проблемам защиты информации, а также может быть полезна специалистам, занимающимся организацией и управлением службами безопасности на различных предприятиях.
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Бакалавриат
- 10.03.01: Информационная безопасность
- ВО - Специалитет
- 10.05.01: Компьютерная безопасность
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
В.И. Аверченков М.Ю. Рытов СЛУЖБА ЗАЩИТЫ ИНФОРМАЦИИ: ОРГАНИЗАЦИЯ И УПРАВЛЕНИЕ Учебное пособие 4-е издание, стереотипное Москва Издательство «ФЛИНТА» 2021
УДК 347.775 ББК 32.973 А19 Р е ц е н з е н т ы: кафедра «Информационные системы и технологии» Орел ГТУ; д-р техн. наук, проф. Ф.Ю. Лозбинев Аверченков В.И. А19 Служба защиты информации : организация и управление : учеб. пособие для вузов / В.И. Аверченков, М.Ю. Рытов. – 4-е изд., стер. – Москва : ФЛИНТА, 2021. – 186 с. – ISBN 978-5-9765-1271-9. – Текст : электронный. Рассматриваются вопросы построения структурных подразделений по защите информации в составе службы безопасности предприятия, описаны правовые основы создания и функционирования соответствующих подразделений. Приведены рекомендации по организации работы на предприятии подразделений режима и охраны, специального отдела, подразделений информационно-аналитической деятельности и инженернотехнической защиты, службы защиты информации. Даны рекомендации по разработке должностных инструкций и приведены их примеры для различных специалистов в области защиты информации. Особое внимание уделено проблемам и методам управления службой безопасности в современных условиях. Рассмотрены новые подходы к подбору, расстановке и обучению персонала с учетом обеспечения на предприятии необходимого уровня защиты информации. Предназначена для студентов вузов по специальности 090103 – Организация и технология защиты информации, слушателей курсов повышения квалификации по проблемам защиты информации, а также может быть полезна специалистам, занимающимся организацией и управлением службами безопасности на различных предприятиях. УДК 347.775 ББК 32.973 ISBN 978-5-9765-1271-9 © Аверченков В.И., Рытов М.Ю., 2016 © Издательство «ФЛИНТА», 2016
ПРЕДИСЛОВИЕ Бурное развитие в последние годы информационных технологий (ИТ) и их использование во всех сферах деятельности современного человека выдвинули целый ряд новых проблем, требующих незамедлительного решения. Одной из наиболее острых проблем стала тема информационной безопасности. Сегодня нет предприятий, фирм, организаций или отдельных пользователей ПЭВМ, которые бы не ставили перед собой задачу защиты информации или работоспособности технических средств. Можно говорить, что проблема информационной безопасности из разряда узкоспециальных и доступных только профессионалам становится жизненно важной для подавляющего круга населения страны. Решение этой комплексной задачи предусматривает, наряду с правовым, программно-аппаратным, криптографическим и техническим обеспечением, проведение различных организационных мероприятий. Для этого необходима организация специальных служб по защите информации и подготовке для них специалистов-инженеровматематиков, инженеров-программистов, менеджеров (специалистов по защите информации). В ряде вузов начата подготовка таких специалистов по направлению, в котором изучаются дисциплины «Организационное обеспечение защиты информации и «Организация и управление службой защиты информации». Сложностью организации учебного процесса по этим дисциплинам является отсутствие учебников и учебных пособий. Особенно это касается второй дисциплины. Причиной этого является недостаточный опыт организации служб защиты информации на предприятиях, которые в настоящее время стали создаваться в составе служб безопасности (СБ). Что касается СБ, то в последние годы вышли монографии и учебные пособия В.В. Домарева, В.П. Мак-Мака и В.И. Ярочкина, в которых рассмотрен опыт организации и управления службами безопасности на современных предприятиях и фирмах. В предлагаемом учебном пособии сделана попытка обобщить опыт в построении общих систем безопасности предприятия и показать место и роль защиты информации в существующих подразделениях, а также
Предисловие 4 описать подходы к организации специализированных подразделений и методы их управления. Особое внимание уделено подбору и обучению сотрудников службы защиты информации. Материал учебного пособия подготовлен на основе курса лекций, читаемого студентам специальности 090103 – «Организация и технология защиты информации» в Брянском государственном техническом университете. Для проведения практических занятий в учебное пособие включены в качестве приложения образцы положений, инструкций и других документов, необходимых для организации и управления различными подразделениями службы безопасности предприятия. Эти материалы могут быть полезны при практической работе специалистам, занимающимся организацией и управлением службами защиты информации.
Концепция построения системы безопасности предприятия 5 Глава 1. Концепция построения системы безопасности предприятия 1.1. Определение и основные понятия системы безопасности 1.2. Защита информации в системе безопасности предприятия 1.3. Концептуальные модели компонентов системы безопасности предприятия 1.4. Принципы построения системы безопасности предприятия 1.1. Определение и основные понятия системы безопасности Под системой безопасности предприятия в настоящее время понимается организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз [13]. Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциальной информации может только система безопасности. Опасности – это возможные или реальные явления, события и процессы, способные нанести моральный или материальный ущерб предприятию и предпринимательской деятельности. Опасность способна приобретать различные формы. Она может быть в виде намерений, планирования действий и их реализация с целью уничтожения, ограбления, изменения, ослабления и т. д. Понятие "угроза" родственно понятию "опасность". Угроза – это опасность на стадии перехода из возможности в действительность. Угроза – потенциально возможное или реальное действие злоумышленников, способных нанести моральный, материальный или физический ущерб персоналу. Различают внутренние и внешние угрозы,
Глава 1 6 которые могут быть направлены на персонал, материальные, финансовые и информационные ресурсы (рис. 1.1). Рис. 1.1. Виды угроз безопасности предприятия Как и любая система, система безопасности предприятия имеет свои цели, задачи, методы и средства деятельности, которые формируются в зависимости от конкретных условий. Целями системы безопасности являются [12]: защита прав предприятия, его структурных подразделений и сотрудников; сохранение и эффективное использование финансовых, материальных и информационных ресурсов; Угрозы безопасности Внутренние Внешние Персоналу Материальным ресурсам Финансовым ресурсам Информационным ресурсам Моральные и физические страдания: убийства похищения и угрозы, похищения сотрудников, членов их семей; психологический террор, угрозы, запугивания, шантаж и вымогательство Повреждения зданий, помещений, квартир и другого недвижимого имущества. Вывод из строя средств связи и систем коммунального обслуживания. Кража, угон и уничтожение транспортных средств Кража финансовых средств и ценностей. Мошенничество с финансовыми средствами и документами Ознакомление с охраняемыми сведениями. Модификация информации с криминальны ми целями. Уничтожение информации
Концепция построения системы безопасности предприятия 7 повышение имиджа и роста прибылей за счет обеспечения качества услуг и безопасности клиентов. В качестве основных задач системы безопасности рассматриваются: своевременное выявление и устранение угроз персоналу и ресурсам; причин и условий, способствующих нанесению финансового, материального и морального ущерба интересам предприятия, нарушению его нормального функционирования и развития; создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций в функционировании предприятия; пресечение посягательств на ресурсы и угроз персоналу на основе комплексного подхода к безопасности; создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, для ослабления негативного влияния последствий нарушения безопасности на достижение стратегических целей. Для достижения указанных целей и задач используются различные средства обеспечения безопасности предприятия, среди которых можно выделить следующие [6]: Технические средства. К ним относятся охранно-пожарные системы, видео-радиоаппаратура, средства обнаружения взрывных устройств, бронежилеты, заграждения и т.д. Организационные средства. Создание специализированных оргструктурных формирований, обеспечивающих безопасность предприятия. Информационные средства. Прежде всего это печатная и видеопродукция по вопросам сохранения конфиденциальной информации. Кроме этого, важнейшая информация для принятия решений по вопросам безопасности сохраняется в компьютерах. Финансовые средства. Совершенно очевидно, что без достаточных финансовых средств невозможно функционирование системы безопасности, вопрос лишь в том, чтобы использовать их целенаправленно и с высокой отдачей.
Глава 1 8 Правовые средства. Здесь имеется в виду использование не только изданных вышестоящими органами власти законов и подзаконных актов, но также разработка собственных, так называемых локальных правовых актов по вопросам обеспечения безопасности. Кадровые средства. Имеется в виду прежде всего достаточность кадров, занимающихся вопросами обеспечения безопасности. Одновременно с этим решают задачи повышения их профессионального мастерства в этой сфере деятельности. Интеллектуальные средства. Привлечение к работе высококлассных специалистов, научных работников (иногда целесообразно привлекать их со стороны) позволяет внедрять новые системы безопасности. Следует заметить, что применение каждого из указанных средств в отдельности не дает необходимого эффекта, он возможен только на комплексной основе, который может быть реализован в виде определенной последовательности следующих этапов: I этап. Выделение финансовых средств. II этап. Формирование кадровых и организационных средств. III этап. Разработка системы правовых средств. IV этап. Привлечение технических, информационных и интеллектуальных средств. При реализации этих средств используются соответствующие им методы. Соответственно можно говорить о технических, организационных, информационных, финансовых, правовых, кадровых и интеллектуальных методах. Приведем краткий конкретный перечень этих методов: технические – наблюдение, контроль, идентификация и т.д.; организационные – создание зон безопасности, режим, расследование, посты, патрули и т.д.; информационные – сбор сведений о сотрудниках, аналитические материалы и учеты конфиденциального характера и т.д.; финансовые – материальное стимулирование сотрудников, имеющих достижения в обеспечении безопасности, денежное поощрение информаторов и т.д.; правовые – судебная защита законных прав и интересов, содействие правоохранительным органам и т.д.; кадровые – подбор, расстановка и обучение кадров, обеспечивающих безопасность предприятия, их воспитание и т.д.; интеллектуальные – патентование, ноу-хау и т.д. [6].
Концепция построения системы безопасности предприятия 9 1.2. Защита информации в системе безопасности предприятия При создании систем безопасности на предприятии в последние годы особое внимание уделяется вопросам защиты информации, которая в современном производстве становится одним из главных объектов посягательств и угроз со стороны конкурентов и злоумышленников. Особенно это относится к конфиденциальной информации в наибольшей степени представляющей интерес, например, для конкурирующих фирм. Поэтому наряду с общим понятием безопасности предприятия (БП) рассматривается понятие информационной безопасности. Информационная безопасность (ИБ) – это состояние защищенности информационной среды предприятия, обеспечивающее его функционирование и развитие в интересах его персонала. При построении модели информационной безопасности предприятия учитывают целый ряд компонентов (источников, объектов, действий). Наиболее важными среди них являются следующие [12]: объекты угроз; угрозы; источники угроз; цели угроз со стороны злоумышленников; источники информации; способы неправомерного овладения конфиденциальной информацией (способы доступа); направления защиты информации; способы защиты информации; средства защиты информации. Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов). Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности. Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы.
Глава 1 10 Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба. Неправомерное овладение конфиденциальной информацией возможно путем ее разглашения источниками сведений, утечки информации через технические средства и несанкционированного доступа к охраняемым сведениям. Учитывая важность этих понятий для дальнейшего изложения материала, рассмотрим их более подробно. 1. Разглашение – это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним [14]. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами при помощи средств передачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и