+7 (495) 980-23-45 (*04)

Мы обучили

6 6 7 4 3
специалистов

5-ти уровневая модель управления безопасностью

Цель создания системы обеспечения информационной безопасности

Конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Основной задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами.

Обеспечение информационной безопасности – это непрерывный процесс, основное содержание которого составляет управление, - управление людьми, рисками, ресурсами, средствами защиты и т.п. Люди – обслуживающий персонал и конечные пользователи АС, - являются неотъемлемой частью автоматизированной (то есть «человеко-машинной») системы. От того, каким образом они реализуют свои функции в системе, существенно зависит не только ее функциональность (эффективность решения задач), но и ее безопасность.

Описание модели

Из ранее сказанного следует, что обеспечение безопасности – это процесс управления рисками. Это означает, что система защиты – это система управления, реализующая технологию обеспечения безопасности (управления безопасностью).

Любая технология предусматривает определенный набор операций и процессов взаимодействия их исполнителей, направленный на достижение конечного результата (цели).

shema1.JPG

Уровень информационной безопасности организации существенно зависит от деятельности следующих категорий сотрудников и должностных лиц организации:

  •  сотрудников структурных подразделений (конечных пользователей АС), решающих свои функциональные задачи с применением средств автоматизации;
  • программистов, осуществляющих разработку (приобретение и адаптацию) необходимых прикладных программ (задач) для автоматизации деятельности сотрудников организации;
  • сотрудников подразделения внедрения и сопровождения ПО, обеспечивающих нормальное функционирование и установленный порядок инсталляции и модификации прикладных программ (задач);
  • сотрудников подразделения эксплуатации ТС, обеспечивающих нормальную работу и обслуживание технических средств обработки и передачи информации и системного программного обеспечения;
  • системных администраторов штатных средств защиты (ОС, СУБД и т.п.);
  • сотрудников подразделения защиты информации, оценивающих состояние информационной безопасности, определяющих требования к системе защиты, разрабатывающих организационно-распорядительные документы по вопросам ОИБ (аналитиков), внедряющих и администрирующих специализированные дополнительные средства защиты (администраторов безопасности);
  • руководителей организации, определяющих цели и задачи функционирования АС, направления ее развития, принимающих стратегические решения по вопросам безопасности и утверждающих основные документы, регламентирующие порядок безопасной обработки и использования защищаемой информации сотрудниками организации.

shema2.JPG

Кроме того, на информационную безопасность организации могут оказывать влияние посторонние лица и сторонние организации, предпринимающие попытки вмешательства в процесс нормального функционирования АС или несанкционированного доступа к информации как локально, так и удаленно.

Обслуживающий персонал и пользователи, как неотъемлемая часть АС, сами являются источником внутренних угроз информационной безопасности организации и одновременно могут являться частью системы защиты АС. Поэтому одним из основных направлений ОИБ является регламентация действий всех пользователей и обслуживающего персонала АС, целями которой являются:

  • сокращение возможностей лиц из числа пользователей и персонала по совершению нарушений (как неумышленных, так и преднамеренных);
  • реализацию специальных мер противодействия другим внутренним и внешним для системы угрозам (связанным с отказами и сбоями оборудования, ошибками в программах, стихийными бедствиями и действиями посторонних лиц, не являющихся частью АС).

Регламентация предусматривает введение таких ограничений и внедрение таких приемов работы сотрудников, которые, не создавая помех для исполнения ими своих функциональных обязанностей (технологических функций), минимизируют возможности совершения ими случайных или преднамеренных нарушений (например, наделение каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих обязанностей полномочиями по доступу к ресурсам АС).

Кроме того, чтобы персонал и пользователи как часть системы безопасности АС реализовали свои «защитные возможности», регламентации подлежат вопросы исполнения ими дополнительных специальных обязанностей (функций), связанных с усилением режима информационной безопасности. Так, для защиты от действий посторонних лиц и «подкрепления» вводимых ограничений на действия своих сотрудников на компьютерах АС могут применяться средства защиты, работающие на физическом, аппаратном или программном уровне. Применение таких средств защиты требует регламентации вопросов их использования конечными пользователями и процессов их администрирования сотрудниками подразделений автоматизации и обеспечения информационной безопасности.

С учетом всего сказанного выше, можно сделать выводы:

  • к обеспечению безопасности информационных технологий организации(и в определенной степени к управлению ее информационной безопасностью) должны привлекаться практически все сотрудники, участвующие в процессах автоматизированной обработки информации, и все категории обслуживающего АС персонала;
  • за формирование системы защиты и реализацию единой политики информационной безопасности организации и осуществление контроля и координации действий всех подразделений и сотрудников организации по вопросам ИБ должно непосредственно отвечать специальное подразделение (служба) защиты информации (обеспечения информационной безопасности);
  • в силу малочисленности данного подразделения решение им многих процедурных вопросов и эффективный контроль за соблюдением всеми сотрудниками требований по ОИБ возможны только при назначении во всех подразделениях, эксплуатирующих подсистемы АС, нештатных помощников - ответственных за обеспечение информационной безопасности.

Эффективное использование штатных (для ОС и СУБД) и дополнительных средств защиты обеспечивается как системными администраторами и администраторами средств защиты, так и системными администраторами, преимущественно .входящими в штат подразделений автоматизации. Администраторы дополнительных средств защиты, как правило, являются сотрудниками подразделения защиты информации.

Таким образом, организационную структуру системы обеспечения информационной безопасности АС организации можно представить в виде совокупности следующих уровней:

  • уровень 1 – Руководство организации
  • уровень 2 – Подразделение Информационной безопасности
  • уровень 3 – Администраторы штатных и дополнительных средств защиты
  • уровень 4 – Ответственные за ОИБ в подразделениях (на технологических участках)
  • уровень 5 – Конечные пользователи и обслуживающий персонал

shema4.jpg

 При этом, среди основных функций подразделений по защите информации можно назвать:

  • формирование требований к системе защиты в процессе создания (развития) АС ОРГАНИЗАЦИИ;
  • определение потребностей в защите конкретных ресурсов АС, разработка (совершенствование), согласование и утверждение у руководства политики безопасности и требований к системе ЗИ.
  • разработка, проведение мероприятий и координация действий всех подразделений и сотрудников по реализации утвержденной политики безопасности, созданию и эффективному применению комплексной системы защиты.
  • контроль за исполнением регламентов и процедур обеспечения безопасности, оценка эффективности и достаточности принятых мер (применяемых процедур и средств ЗИ)
  • участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
  • планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;
  •  распределение между пользователями необходимых реквизитов защиты;
  • наблюдение за функционированием системы защиты и ее элементов;
  • организация проверок надежности функционирования системы защиты;
  • обучение пользователей и персонала АС правилам безопасной обработки информации
  • регламентация действий и контроль за администраторами баз данных, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации);
  • взаимодействие с ответственными за безопасность информации в подразделениях ОРГАНИЗАЦИИ;
  • контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
  • принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты

shema3.JPG

В итоге  можно определить следующие уровни (роли) по управлению информационной безопасностью в организации:

1.  Уровень принятия решений 

Руководство организации - принимает стратегические решения по вопросам автоматизации и ОИБ, утверждает основные документы, регламентирующие порядок функционирования и развития АИС, обеспечивающий безопасную обработку и использование защищаемой информации.

Руководители и специалисты ИТ-подразделений, технической защиты информации, начальники служб безопасности, руководители и специалисты служб экономической безопасности

Руководители организации и подразделений ИБ и ИТ определяют критичность процессов, ресурсов и требуемую степень их защиты, а также координирует управление и распределение обязанностей служб ИБ и ИТ

2. Уровень подготовки информации для принятия решений 

Аудиторы и аналитики по вопросам безопасности ИТ

Аналитики подразделений ИБ и ИТ отвечают за анализ состояния безопасности ИТ, определение требований к защищенности различных подсистем АИС и выбор методов и средств защиты, разрабатывают регламенты (политику ИБ)

3. Уровень организации и контроля исполнения решений 

Системные и сетевые администраторы, администраторы серверов, приложений, баз данных и т.п. отвечают за эффективное их применение штатных средств защиты и разграничения доступа всех используемых ОС и СУБД

Администраторы дополнительных средств защиты, контроля и управления безопасностью отвечают за эффективное применение специализированных средств защиты (влияют на безопасность и персонал через средства защиты), администраторы безопасности

Менеджеры, ответственные за работу с персоналом по вопросам ОИБ

4. Уровень поддержки исполнения политики ИБ

Ответственные за обеспечение безопасности ИТ в подразделениях (на технологических участках) – это посредники между малочисленным подразделением безопасности и многочисленными пользователями (это «представители ИБ» на местах). Основные функции ответственных за обеспечение безопасности ИТ – эффективная поддержка реализации разработанных подразделением безопасности и утверждённых руководством регламентов.

5. Уровень исполнения политики ИБ (сотрудники) 

Сотрудники структурных подразделений (конечные пользователи системы и обслуживающий персонал, работающие со средствами автоматизированной обработки информации), которые решают свои функциональные задачи с применением средств автоматизации. 
Все руководители и специалисты, включая подразделения ИБ и ИТ, при работе в АИС также являются конечными по
льзователями.

Присоединяйтесь к нам
на Facebook!