Разработка рекомендаций по организации защиты информации ОАО "РЖД"

Меры противодействия  угрозам разделяются на правовые и законодательные.

Законы, указы, нормативные  акты, регламентирующие правила обращения  с информацией и определяющие ответственность за нарушение этих правил.

Нормы поведения, которые  традиционно сложились или складываются в обществе по мере распространения  вычислительной техники. Невыполнение этих норм ведет к падению авторитета, престижа организации, страны, людей.

Меры организационного характера, регламентирующие процессы функционирования АС, деятельность персонала  с целью максимального затруднения  или исключения реализации угроз безопасности:

• организация явного или скрытого контроля за работой пользователей;
• организация учета, хранения, использования, уничтожения документов и носителей информации;
• организация охраны и надежного пропускного режима;
• мероприятия, осуществляемые при подборе и подготовке персонала;
• мероприятия по проектированию, разработке правил доступа к информации;
• мероприятия при разработке, модификации технических средств.

Применение разного  рода технических средств охраны и сооружений, предназначенных для создания физических препятствий на путях проникновения в систему основаны на использовании технических устройств и программ, входящих в состав АС и выполняющих функции защиты [2]:

• средства аутентификации;
• аппаратное шифрование;
• другие.

Целью создания системы безопасности предприятия является комплексное воздействие на потенциальные и реальные угрозы, позволяющее организации:

• успешно функционировать в нестабильных условиях внешней и внутренней среды;
• предотвращать угрозы собственной безопасности;
• защищать свои законные интересы от противоправных посягательств;
• охранять жизнь и здоровья персонала;
• не допускать хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации.

Достижение этой цели требует решения следующих задач:

• выявления угроз стабильности работы предприятия и его развитию и выработка мер противодействия;
• обеспечения защиты технологических процессов;
• реализации мер противодействия всем видам шпионажа (промышленного, научно-технического, экономического и т.д.);
• своевременного информирования руководства предприятия о фактах нарушения законодательства со стороны государственных и муниципальных органов, коммерческих и некоммерческих организаций, затрагивающих интересы предприятия;
• предупреждения переманивания сотрудников предприятия, обладающих конфиденциальной информацией;
• всестороннего изучения деловых партнеров;
• своевременного выявления и адекватного реагирования на дезинформационные мероприятия;
• разработки и совершенствования правовых актов предприятия, направленных на обеспечение его безопасности;
• реализации мер по защите коммерческой и иной информации;
• организации мероприятий по противодействию недобросовестной конкуренции;
• обеспечения защиты всех видов ресурсов предприятия;
• реализации мер по защите интеллектуальной собственности;
• организации и проведения мер по предотвращению чрезвычайных ситуаций;
• выявления негативных тенденций среди персонала предприятия, информирования о них руководства предприятия и разработки соответствующих рекомендаций;
• организации взаимодействия с правоохранительными и контрольными органами в целях предупреждения и пресечения правонарушений, направленных против интересов предприятия;
• разработки и реализации мер по предупреждению угроз физической безопасности имуществу предприятия и его персоналу;
• возмещения материального и морального ущерба, нанесенного предприятию в результате неправомерных действий организаций и отдельных физических лиц.

Результатом деятельности по обеспечению комплексной безопасности предприятия являются: стабильность (надежность) его функционирования и финансово-экономического состояния, личная безопасность персонала [3].

 

1.2 Исследование  организации защиты информации  в системе безопасности предприятия

 

Информационная безопасность – это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств [4].

При построении модели информационной безопасности предприятия учитывают  целый ряд компонентов (источников, объектов, действий).

Наиболее важными среди  них являются следующие [5]:

• объекты угроз;
• угрозы;
• источники угроз;
• цели угроз со стороны злоумышленников;
• источники информации;
• способы неправомерного овладения конфиденциальной информацией (способы доступа);
• направления защиты информации;
• способы защиты информации;
• средства защиты информации.

Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).

Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности.

Источниками угроз выступают  конкуренты, преступники, коррупционеры, административно-управленческие органы.

Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация  в корыстных целях и уничтожение для нанесения прямого материального ущерба.

Неправомерное овладение  конфиденциальной информацией возможно путем ее разглашения источниками  сведений, утечки информации через  технические средства и несанкционированного доступа к охраняемым сведениям. Учитывая важность этих понятий для дальнейшего изложения материала, рассмотрим их более подробно.

Разглашение – умышленные или неосторожные действия с конфиденциальными  сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с информацией [6].

Несанкционированный доступ – доступ к информации, нарушающий правила разграничения доступа, с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Утечка информации –  неправомерный выход конфиденциальной информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, результатом которого является получение информации лицами, не имеющими к ней санкционированного доступа [7].

Каждая угроза влечет за собой определенный ущерб –  моральный или материальный, а  защита и противодействие угрозе призвана снизить его величину, в  идеале – полностью, реально – значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы могут быть классифицированы по следующим  признакам [8]:

По величине принесенного ущерба:

• предельный, после которого фирма может стать банкротом;
• значительный, но не приводящий к банкротству;
• незначительный, который фирма за какое-то время может компенсировать и др.

По вероятности возникновения:

• весьма вероятная угроза;
• вероятная угроза;
• маловероятная угроза.

По причинам появления:

• стихийные бедствия;
• преднамеренные действия.

По характеру нанесенного  ущерба:

• материальный;
• моральный.

По характеру воздействиям:

• активные;
• пассивные.

По отношению к объекту:

• внутренние;
• внешние.

 

1.3 Исследование  общеметодологических принципов  построения системы защиты информации

 

Система защиты информации (СЗИ) в самом общем виде может  быть определена как организованная совокупность всех средств, методов  и мероприятий, выделяемых (предусматриваемых) в АСОД для решения в ней  выбранных задач защиты [9].

Введением понятия СЗИ  постулируется тот факт, что все ресурсы, выделяемые для защиты информации, должны объединяться в единую, целостную систему, которая является функционально самостоятельной подсистемой АСОД.

Важнейшим концептуальным требованием к СЗИ является требование адаптируемости, т. е. способности к целенаправленному приспособлению при изменении структуры, технологических схем или условий функционирования АСОД. Важность требования адаптируемости обусловливается, с одной стороны, тем, что перечисленные факторы, вообще говоря, могут существенно изменяться, а с другой – тем, что процессы защиты информации относятся к слабоструктурированным, т. е. имеющим высокий уровень неопределенности. Управление же слабоструктурированными процессами может быть эффективным лишь при условии адаптируемости системы управления.

Помимо общего концептуального  требования к СЗИ предъявляется  еще целый ряд более конкретных, целевых требований, которые могут  быть разделены на функциональные, эргономические, экономические, технические  и организационные. В совокупности эти требования образуют систему, структура и содержание которой показаны на рисунке 2.

В процессе развития работ  по защите информации как у нас  в стране, так и за рубежом наряду с конкретными разработками конкретных вопросов защиты формировались общеметодологические принципы (общие положения) построения и функционирования СЗИ.

Рисунок 2 – Совокупность требований к системе защиты информации в АСОД

 

Соблюдение требований таких принципов в общем случае способствует повышению эффективности защиты. В условиях же системно-концептуального подхода к защите надо не просто руководствоваться теми или иными общими положениями – нужна стройная и возможно более полная система общеметодологических принципов.

Сформированная к настоящему времени система включает следующий перечень общеметодологических принципов: концептуальное единство; адекватность требованиям; гибкость (адаптируемость); функциональная самостоятельность; удобство использования; минимизация предоставляемых прав; полнота контроля; адекватность реагирования; экономичность.

Адекватность требованиям  означает, что СЗИ должна строиться  в строгом соответствии с требованиями к защите, которые в свою очередь  определяются категорией соответствующего объекта и значениями параметров, влияющих на защиту информации.

Гибкость (адаптируемость) системы защиты означает такое построение и такую организацию ее функционирования, при которых функции защиты осуществлялись бы достаточно эффективно при изменении  в некотором диапазоне структуры АСОД, технологических схем или условий функционирования каких-либо ее компонентов.