быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы.
К системе безопасности информации предъявляются определенные требования:
четкость определения полномочий и прав пользователя на доступ к определенной информации;
предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
сведение к минимуму числа общих для нескольких пользователей средств защиты;
учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
обеспечение оценки степени конфиденциальности информации;
обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.
Система защиты информации как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого система защиты информации может иметь:
. Правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в нормах сферы их действий.
. Организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска и охраны; служба защиты информации техническими средствами; служба информационно-аналитической деятельности и другие.
. Аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности системы защиты информации.
. Информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения информации.
. Программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;
. Математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты.
. Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации.
. Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Удовлетворить современные требования по обеспечению деятельности предприятия и защиты его конфиденциальной информации может только система безопасности. Под системой безопасности будем понимать организационную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.
Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.
Понимая информационную безопасность как "состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций", правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.
Практика показывает, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы "заместитель" реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности.
Выводы: Как свидетельствует зарубежный и отечественный опыт, несмотря на все более широкое внедрение в практику предприятий новых информационных технологий, основным источником утечки информации являются сотрудники этих предприятий.
Поэтому применительно к такой ситуации необходимо понимать, что практически невозможно создать на предприятии условия, полностью исключающие несанкционированный доступ к этому источнику информации ограниченного доступа, можно лишь существенно уменьшить его роль среди других источников утечки конфиденциальной информации.
Следовательно, угрозы для информации ограниченного доступа всегда реальны, отличаются большим разнообразием и создают предпосылки для утраты информации.
По данным Института защиты компьютеров (CSI) и ФБР cвыше 50% вторжений - дело рук собственных сотрудников компаний. Что касается частоты вторжений, то 21% опрошенных указали, что они испытали рецидивы "нападений". Несанкционированное изменение данных было наиболее частой формой нападения и в основном применялось против медицинских и финансовых учреждений. Свыше 50% респондентов рассматривают конкурентов как вероятный источник "нападений". Наибольшее значение респонденты придают фактам подслушивания, проникновения в информационные системы и "нападениям", в которых "злоумышленники" фальсифицируют обратный адрес, чтобы пере нацелить поиски на непричастных лиц. Такими злоумышленниками наиболее часто являются обиженные служащие и конкуренты.
Анализ информационных рисков показывает, что они связаны с конфиденциальной информацией.
Часть плохо учитываемых причин, например, личная неприязнь к руководителю предприятия, ухудшение коммерческих связей между предприятиями, может привести к появлению в СМИ невыгодной, а в некоторых случаях, и опасной для предприятия информации. Поэтому для исключения или, по меньшей мере, уменьшения риска распространения этой информации со стороны предприятий-конкурентов необходимо упреждающе распространять некоторую истинную информацию, а в некоторых случаях, и дезинформацию.
Несмотря на проработанность темы, вопросов в процессе
совершенствования системы управления информационными рисками всегда возникает
много. Цель построения процесса анализа рисков не только в том, чтобы
идентифицировать их, оценить последствия их возможной реализации, обеспечить их
обработку и в последующем планомерно проводить дальнейший эффективный
мониторинг. Но и в обеспечении стандартизации подхода к рискам во всех аспектах
деятельности компании, удобном и быстром получении целостной картины ситуации с
информационными рисками в компании в любой период ее деятельности. А также в
повышении конкурентной привлекательности компании за счет быстрой и адекватной
реакции на все новые возникающие угрозы, в повышении доверия внутри самой
компании между бизнесом и безопасностью.
Для Дистанции электроснабжения важными для жизнедеятельности ресурсами и, следовательно, защищаемыми являются:
) люди (персонал предприятия);
) имущество: документация, материальные и финансовые ценности, образцы готовой продукция, интеллектуальная собственность (ноу-хау), средства вычислительной техники и другое;
) Информация: на материальных носителях, а также циркулирующая во внутренних коммуникационных каналах связи и информации, в кабинетах руководства предприятия, на совещаниях и заседаниях;
) Финансово-экономические ресурсы, обеспечивающие эффективное и устойчивое развитие предприятия (коммерческие интересы, бизнес-планы, договорные документы и обязательства и тому подобное).
Ценности, подлежащие защите, такие как информация ограниченного доступа, банковская тайна, персональные данные, служебная тайна, коммерческая тайна, государственная тайна, инсайдерская информация и иная информация, в отношении которой устанавливается режим обязательного соблюдения конфиденциальности и ответственности за ее разглашение.
Так же ценностью являются данные, которые создаются или используются в корпоративной информационной сети такие как научно-техническая и технологическая информация, связанная с деятельностью предприятия.
Полный перечень информации, составляющей коммерческую тайну, устанавливается начальниками служб по защите информации дополнительно соответствующими нормативными актами.
К категориям "конфиденциальных" относятся сведения, удовлетворяющие следующим критериям:
они не являются общеизвестными или общедоступными на законных основаниях;
монопольное обладание этими сведениями даёт организации коммерческие преимущества, экономическую и иную выгоду и разглашение или открытое использование которых может привести к нанесению ущерба (материального, морального, физического) организации, его клиентам или корреспондентам (коммерческая тайна).
Банковской тайной понимаются сведения об операциях, счетах и вкладах, банковских реквизитах, а также сведения о клиентах и корреспондентах Банка, подлежащие обязательной защите.
Служебной тайной понимается информация, доступ к которой ограничен органами государственной власти и федеральными законами и понимаются сведения, не являющиеся банковской тайной, и подлежащие обязательной защите согласно перечня сведений ограниченного распространения.
Коммерческой тайной организации понимаются сведения, связанные с научно-технической, технологической, производственной, финансово-экономической или иную информацию которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введён режим коммерческой тайны. Разглашение (передача, утечка, открытое использование) которых может привести к нанесению ущерба организации, государства, ее клиентам или корреспондентам, контрагентам ОАО "РЖД".
Персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни граждан, позволяющие идентифицировать их личность.
Государственная тайна - согласно определению, принятому в российском законодательстве, защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной, оперативно-розыскной и иной деятельности, распространение которых может нанести ущерб безопасности государства.
Инсайдерская информация - (англ. Insider information) - существенная публично нераскрытая служебная информация компании, которая в случае ее раскрытия способна повлиять на рыночную стоимость ценных бумаг компании. Сюда можно отнести: информацию о готовящейся смене руководства и новой стратегии, о подготовке к выпуску нового продукта и к внедрению новой технологии, об успешных переговорах о слиянии компаний или идущей скупке контрольного пакета акций; материалы финансовой отчетности, прогнозы, свидетельствующие о трудностях компании; информация о тендерном предложении (на торгах) до его раскрытия публике и т.д.
Информацией ограниченного доступа является информация представляющая ценность для ее владельца, доступ к которой ограничивается на законном основании. В свою очередь информация ограниченного доступа подразделяется на информацию составляющею государственную тайну и информацию, соблюдение конфиденциальности которой установлено федеральным законом (конфиденциальная информация).
Юридическая и справочная информация, деловая переписка, передача отчетной бухгалтерской информации между пользовательскими рабочими станциями и сервером баз данных в рамках автоматизированных систем SAP R/3 для финансово-экономического и технического отдела.
Информация предприятия может быть следующих четырех уровней важности:
жизненно важная, то есть информация, утечка или разрушение которой ставят под угрозу само существование предприятия;
важная, то есть информация, утечка или разрушение которой приводит к большим затратам;
полезная, то есть информация, утечка или разрушение которой наносит некоторый ущерб, однако предприятие может достаточно эффективно функционировать и после этого;
несущественная, то есть информация, утечка или разрушение которой
не наносят ущерба предприятию и не оказывают влияния на процесс его
функционирования.
Организационно-правовые документы и методы регламентируют весь технологический цикл работы ОАО "РЖД", от методики подбора кадров и приема их на работу, например, на контрактной основе, до положений о функциональных обязанностях любого сотрудника. Каждая инструкция предприятия или норматив должны прямо или косвенно учитывать вопросы безопасности и влиять на работоспособность и эффективность системы защиты.
Важным источником утечки конфиденциальной информации являются различного рода документы. Здесь необходимо учитывать, что достаточно бурное развитие информационных технологий привело к появлению новых типов носителей документной информации: распечаток ЭВМ, носителей информации и тому подобное. В то же время практически не уменьшается значимость в коммерческой деятельности и традиционных видов документов на бумажных носителях: договоров, писем, аналитических обзоров.
Появление новых носителей документной информации привело не только к появлению новых сложностей в решении задачи обеспечения защиты информации от несанкционированного доступа к ее содержимому, но и новых возможностей по обеспечению гарантированной защиты этой информации. Речь здесь идет прежде всего о хранении особо важной документной информации на носителях в преобразованном с помощью криптографических преобразований виде.
В рамках этих мер на Дистанции электроснабжения разработаны и внедрены организационно-распорядительные документы, определяющие список конфиденциальных информационных ресурсов, а также перечень тех мероприятий, которые должны быть реализованы для противодействия.
Организационными документами являются политика информационной безопасности, должностные инструкции сотрудников компании, регламенты работы на персональном компьютере.
С этой целью на ОАО "РЖД" решены следующие организационно задачи:
Созданы правовые основы обеспечения защиты информации путем осуществления:
- внесения в Устав предприятия дополнений, дающих право руководству предприятия: издавать нормативные и распорядительные документы, регулирующие порядок определения информации, составляющей коммерческую тайну, и механизмы ее защиты;
- дополнения "Коллективного договора" положениями, закрепляющими обязанности администрации и работников предприятия, связанные с разработкой и осуществлением мероприятий по определению и защите коммерческой тайны;
- дополнения "Трудового договора" требованиями по защите коммерческой тайны и правил внутреннего распорядка, включающих требования по защите коммерческой тайны;