Конспект лекций оглавление 1 информационное общество и его безопасность 6
Скачать 4.94 Mb.
|
15 ОРГАНИЗАЦИОННЫЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ15.1. Организационные структуры государственной системы обеспечения информационной безопасности федеральных органов исполнительной властиНаиболее развитой составляющей отечественного комплекса обеспечения информационной безопасности является государственная система защиты информации, в составе которой можно выделить такие типовые организационные структуры, как: службы контроля, надзора и обеспечения безопасности органов исполнительной власти; специализированные предприятия и организации — лицензиаты в различных областях компетенции уполномоченных органов исполнительной власти, которые являются разработчиками средств и поставщиками услуг по защите информации; сертификационно-испытательные центры; аттестационные центры; службы безопасности и защиты информации предприятий и организаций, независимо от их формы собственности. Службы контроля и надзора органа исполнительной властинесут основную нагрузку по формированию и развитию системы защиты информации в соответствующем органе власти. Такие службы входят в состав административного аппарата органов исполнительной власти и, как правило, в их функции входят: - разработка нормативно-методических документов отраслевого (ведомственного) уровня по выполнению требований обеспечения безопасности и защиты информации; - разработка, организация и проведение контрольных и надзорных мероприятий в пределах установленной сферы компетентности органа государственной власти и оформление результатов проведения таких мероприятий; - выдача предписаний об устранении нарушений требований нормативных документов; - подготовка мотивированных предложений о полном или частичном прекращении деятельности подведомственных организаций в случае, если иными мерами нарушения требований нормативных документов не могут быть устранены; - проведение в ходе государственного контроля (надзора) разъяснительной работы по выполнению требований нормативных актов в области обеспечения безопасности и защиты информации. Выполнение указанного перечня функций обеспечивают специалисты, соответствующие следующей номенклатуре основных должностей: руководитель управления, службы; руководитель отдела, сектора; специалист по направлению деятельности службы безопасности; инженер-метролог (нормоконтролер технической и организационно-распорядительной документации). Особое место в государственной системе защиты информации занимают специализированные предприятия— разработчики комплексов и средств обеспечения, а также поставщики услуг в области безопасности и защиты информации. Именно от степени их развития, уровня и качества поставляемой продукции и услуг зависит безопасность, устойчивость и надежность функционирования всей инфраструктуры информационной безопасности. Поэтому недаром одним из обязательных требований к указанным предприятиям и организациям является лицензирование их деятельности уполномоченным органом исполнительной власти в соответствии с законодательством о государственном регулировании отдельных видов деятельности. Предлагаемые на рынке этими предприятиями услуги организа-ционно-технологического характера можно классифицировать в соответствии с этапами жизненного цикла систем обеспечения информационной безопасности: - обследование — услуга, которая может включать анализ защищенности используемых информационных технологий, обследование системы документооборота, обследование организации в целом (т.е. анализ влияния существующего документооборота на защищенность бизнес-процессов), проверку деятельности организации в соответствии с требованиями нормативно-правовых документов и тому подобное; - проектирование комплексной системы обеспечения, при котором должен быть охвачен не только технический уровень, но и все механизмы защиты, включая организационно-правовые; - внедрение системы защиты информации на договорной основе с использованием специализированных подрядных организаций, имеющих соответствующую лицензию (может дать большой эффект за счет высокой квалификации привлекаемых специалистов); - сопровождение систем информационной безопасности и работ по защите информации третьими лицами (аутсорсинг), т.е. оказание специализированной оперативной помощи в случае внештатных ситуаций, периодическое обновление специального и общесистемного программного обеспечения в случае появления новых атак и уязвимостей. Организация и технологии разработки специализированных комплексов, систем и средств защиты информации принципиально не отличаются от используемых в других отраслях создания высокотехнологичной продукции, в частности средств вычислительной техники. Основная номенклатура должностей традиционна для высокотехнологичных предприятий: конструктор по наладке и испытаниям; конструктор по стандартизации; программист; технолог; электроник; техник по наладке и испытаниям. Бурный процесс информатизации и, как следствие, все возрастающая актуальность обеспечения требований информационной безопасности приводят к необходимости видоизменения и дополнения номенклатуры специалистов. Широкое распространение общепризнанной международной практики проведения такого вида услуги, как аудит информационной безопасности, привело к появлению специалистов нового профиля — аудиторов, которые осуществляют свою деятельность в соответствии с рекомендациями отечественных и международных стандартов. К таким стандартам относятся: - ГОСТ Р ИСО/МЭК 17799—2005 «Информационная технология — Практические правила управления информационной безопасностью»; - ИСО/МЭК 17799—2000 «Информационная технология. Кодекс установившейся практики для менеджмента информационной безопасностью»; - BS 7799 «Управление информационной безопасностью. Практические правила»; - вторая часть BS 7799-2:2002 «Системы управления информационной безопасностью — спецификация с руководством по использованию». Сертификационно-испытательные центры и лаборатории занимают особое место среди предприятий и организаций — лицензиатов в области обеспечения безопасности и защиты информации. Эти организационные структуры обеспечивают необходимую поддержку такой функции государственно-общественного регулирования в области информационной безопасности, как сертификацию средств и оценки качества оказания услуг по защите информации. Наряду с лицензированием своей деятельности в области защиты информации указанные центры и лаборатории должны пройти дополнительно обязательную организационно-правовую процедуру — аккредитацию в качестве сертификационно-испытательных структур, которая в настоящее время осуществляется исключительно уполномоченными органами исполнительной власти. Реформа законодательства о техническом регулировании пока не дает четкой правовой основы использования обязательной сертификации как механизма независимого подтверждения качества продукции и услуг в области информационной безопасности, но и не отменяет возможность применения такого механизма, по крайней мере в системе сертификации продукции, работ и услуг, средств и комплексов защиты сведений, составляющих государственную тайну. Наработанные практикой за более чем десятилетний период организационно-технологические процедуры в целом могут также с успехом применяться в системах добровольной сертификации. Поэтому существующие сертификационно-испытательные центры (лаборатории) по-прежнему будут играть ключевую роль в процессах подтверждения соответствия средств, комплексов и систем защиты установленным требованиям по безопасности информации. Номенклатура указанных должностей подобных структур также может быть дополнена новой категорией специалистов, например, «оценщик», или специалист по оценке защищенности информационных технологий, предусмотренной стандартом ГОСТ Р ИСО/МЭК 15408—2002 «Общие критерии оценки безопасности информационных технологий». Аттестационные центрынаряду с сертификацией средств, работ и услуг в области обеспечения информационной безопасности осуществляют относительно похожие процедуры подтверждения соответствия, называемые аттестацией объектов информатизации. Как правило, по объему и характеру работ традиционные аттестационные центры (лаборатории) не имеют существенных отличительных особенностей по сравнению с сертификационно-испытательными центрами, а наиболее известные отечественные компании — поставщики услуг в области защиты информации — имеют аккредитацию по обоим видам деятельности и, соответственно, примерно одинаковую номенклатуру основных должностей. Активно развивается также рынок образовательных услуг в области информационной безопасности по повышению квалификации специалистов, руководителей служб безопасности, руководителей ІТ-подразделений, пользователей средств защиты, так как необходимым условием для получения лицензии на деятельность в области защиты информации является наличие персонала необходимого уровня квалификации и подготовки. Однако система дополнительного образования в области информационной безопасности пока находится в стадии формирования, что затрудняет выделение ее типовых элементов. Службы безопасности и защиты информации предприятий и организацийнезависимо от вида деятельности и форм собственности являются самой распространенной организационной структурой в рассматриваемой области общественной деятельности и по существу составляют основу всей системы обеспечения информационной безопасности предприятий, организаций и страны в целом. Непосредственная деятельность по организации функционирования и эксплуатации комплексов обеспечения информационной безопасности осуществляется штатными специалистами соответствующих структурных подразделений. Они должны иметь определенную квалификацию в соответствии с требованиями, установленными номенклатурой должностей и служащих. |