Конспект лекций оглавление 1 информационное общество и его безопасность 6
 Скачать 4.94 Mb.
|
4. СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ4.1. Обеспечение информационной безопасности организацииПри всем многообразии видов организаций, направлений и масштабов их деятельности, численности участников основными объектами обеспечения информационной безопасности, как правило, являются: - информация в форме сведений (сведения об участниках организации, о состоянии рынка и ее активов; репутация организации и доброе имя участников организации и т.п.); - информация в форме сообщений (документы, закрепляющие права собственности организации на материальные и нематериальные активы; документация бухгалтерского учета, налоговые декларации, договоры на выполнение работ и оказание услуг; - документация на выпускаемые изделия и т.п.); - информационная инфраструктура (автоматизированные системы обработки информации и технологического управления; техническое и программное обеспечение информационных и коммуникационных систем и сетей связи, используемых в организации, и т.п.); - правовой статус организации как субъекта информационной сферы (права на объекты интеллектуальной собственности, на выполнение работ и оказание услуг, на доступ к открытой информации государственных органов, на коммерческую тайну и т.п., а также обязанности по представлению в уполномоченные государственные органы сведений о результатах экономической деятельности, по соблюдению режима персональных данных, по представлению заинтересованным лицам документов в случае направления заявки на участие в конкурсах и аукционах и т.п.). Наиболее опасные угрозы безопасности этих объектов проявляются в следующих формах: - мошенничество, связанное с завладением чужим имуществом или приобретением права на него путем обмана или злоупотребления доверием, основанных на неправомерном доступе к информационно-коммуникационным системам, конфиденциальной информации, на подделке или искажении электронных документов в информационных и коммуникационных системах, сетях связи; - клевета, основанная на распространении заведомо ложной информации, порочащей честь и достоинство руководителей организации; - нарушение авторских и смежных прав, связанных с объектами интеллектуальной собственности; - шантаж, связанный с угрозой распространения персональных данных, иной информации, охраняемой законом в режиме тайны; - противоправное раскрытие информации ограниченного доступа третьим лицам; - уничтожение или повреждение информационных ресурсов, информационно-коммуникационных систем и сетей связи посредством использования и распространения вредоносных программ, нарушения правил эксплуатации ЭВМ и их сетей; - причинение имущественного ущерба собственнику или иному владельцу информационно-коммуникационных систем и сетей связи путем обмана или злоупотребления доверием без признаков хищения. Вследствие проявления указанных угроз существенно возрастают риски, связанные с осуществлением основной деятельности организации (риск утраты репутации, риск ликвидности, операционные риски, риски утраты собственности или важных активов организации). Эти риски связаны с возможностью возникновения ситуаций проявления угроз, требующих дополнительных, часто существенных затрат материальных, людских, временных, финансовых и иных ресурсов на ликвидацию последствий проявления угроз. Увеличение рисков приводит к увеличению издержек и соответствующему снижению эффективности деятельности организации, уменьшению ее конкурентоспособности. Система обеспечения информационной безопасности организации характеризуется двумя составляющими: деятельностью по подготовке и реализации мер, направленных на противодействие проявлению угроз информационной безопасности и минимизацию последствий этих проявлений; субъектами этой деятельности. Деятельность по обеспечению информационной безопасности организаций базируется на следующих основных принципах: - законность, заключающаяся в строгом и неуклонном исполнении норм законодательства Российской Федерации, соблюдении прав и свобод человека и гражданина; - непрерывность, предполагающая рассмотрение деятельности в качестве одной из функций организации; - комплексность, заключающаяся во всестороннем анализе факторов, оказывающих влияние на риски информационной безопасности, при планировании данной деятельности и использовании всех имеющихся возможностей и выделенных ресурсов для реализации составленных планов; - замкнутость, заключающаяся в совместном осуществлении деятельности по предупреждению проявления угроз, снижению их опасности, выявлению проявлений угроз, минимизации последствий этих проявлений, а также по оценке эффективности выполнения планов противодействия угрозам и их соответствующего уточнения. В этой деятельности широко используются методы поощрения, убеждения и принуждения. Меры по противодействию проявлению угроз информационной безопасности организации и минимизации последствий этих проявлений охватывают три основных направления деятельности: - управление персоналом; - организация объектового режима; - организационно-техническое обеспечение. Меры по управлению персоналом направлены на минимизацию рисков, связанных с проявлением личностных свойств и качеств участников организации, а также взаимодействующих с ней субъектов. Они включают подбор и расстановку кадров, обеспечение должной мотивации сотрудников к добросовестной работе, подготовку и повышение их квалификации. Меры по организации объектового режима нацелены на минимизацию рисков, связанных с возможными попытками нанесения ущерба организации ее участникам и взаимодействующим с ней субъектам. Эти мероприятия включают осуществление пропускного и внутриобъектового режимов, в том числе установление и поддержание режимов информации, информационнокоммуникационных систем и систем связи, контроль поддержания установленных режимов и проведение служебных расследований по фактам их нарушения. При этом режимы информационно-коммуникационных систем и систем связи направлены на достижение требуемых значений основных свойств безопасности используемых в организации информационных технологий: конфиденциальности, целостности и готовности к использованию. Меры по организационно-техническому обеспечению позволяют использовать возможности техники для установления и поддержания объектового режима. Они включают мероприятия по использованию средств защиты информации, информационных и коммуникационных систем, средств связи, а также по установлению и реализации политики безопасности в информационно-коммуникационных системах. Важную роль в эффективной реализации мер по противодействию угрозам информационной безопасности играет нормативно-методическое обеспечение. Основными субъектами обеспечения информационной безопасности организацийявляются создаваемые в них координационные (например, советы по безопасности информационных технологий) и кадровые органы, специализированные структурные подразделения по вопросам информационной безопасности или должностные лица, а также структурные образования, специализирующиеся на оказании услуг в данной области, объединяемые в единую систему. Структура указанной системы и ее составных частей может быть различной. Например, в организации может быть создан совет по безопасности информационных технологий, который решает вопросы выработки внутренней политики в этой области, ее реализации и нормативно-методического обеспечения. Для качественного выполнения данных функций в состав совета включают представителей высшего руководства организации и должностных лиц, осуществляющих непосредственное управление обеспечением информационной безопасности. В некоторых случаях управление этой деятельностью может быть возложено на ответственных сотрудников соответствующих структурных подразделений. |