Таким образом, можно сделать вывод, что развитию информатизации в Челябинской области уделяют большое внимание и достигнуты неплохие результаты в этой области. Это показывают и исследования уровня участия местной власти, спонсоров и общественных организаций в процессах информатизации, анализ количества и качества программ информатизации, в которых Челябинская область является одним из лидеров. В то же время камнем преткновения для дальнейшего развития информационного общества является несовершенство законодательства и нехватка специалистов в области ИТ. Если в создании нормативно-правовой базы не всегда могут проявить самостоятельность, по проблему подготовки кадров можно решать на любом уровне. В Челябинской области высокая концентрация вузов, что, несомненно, является огромным потенциалом для подготовки ИТ-компетентных выпускников.
4.3. Рынок защиты информации
в регионе: проблемы и пути решения
Для начала очертим границы – географические и терминологические. Под регионом будем понимать Челябинскую область, под защищаемой информацией – персональные данные, под рынком – систему регулирования спроса и предложения.
Высокий спрос на специалистов по защите информации определяется спецификой Челябинской области, в которой по сравнению с другими областями есть множество режимных предприятий оборонной и атомной промышленности, на которых ведутся работы со сведениями, составляющими государственную тайну. Другим активным потребителем специалистов по защите информации являются органы власти и управления различных уровней, где защищаемая информация в основном имеет гриф «Для служебного пользования».
Специалистов по защите информации готовят в Челябинской области ЮУрГУ и ЧелГУ. Так, кафедра «Информационная безопасность» ЮУрГУ выпустила на сегодняшний день более 100 человек. Молодые специалисты предпочитают оседать в основном в городе Челябинске, а в остальных местах кадровый голод в защите информации еще остро ощущается. Хотя и в Челябинске говорить об укомплектованности штатов специалистами по защите информации преждевременно.
В чем причины кадровых проблем?
В области защиты государственной тайны:
· сравнительно небольшое количество объектов, не отличающихся сложностью (одиночные рабочие места);
· нежелание молодежи связываться с секретностью;
· отсутствие навыков защиты государственной тайны, поскольку в Челябинских вузах реализуются открытые аналоги специальностей по защите информации.
В служебной тайне – это большое количество сложных сетей, зачастую с элементами криптографии.
Есть и общая причина для государственной, служебной и коммерческой тайн. Молодые специалисты по защите информации обладают и знаниями, и умениями, и навыками, и интересом. Но только нет интереса у владельцев информации – уже упомянутых органов власти и управления, не говоря уже о владельцах коммерческой тайны. И здесь главная причина – абстрактность понятия «служебная тайна», которое не определено нормативными актами. Хотя справедливости ради надо отметить, что большинство структур федерального подчинения и некоторые (к сожалению, не многие) региональные структуры имеют специализированные подразделения по защите информации. И выпускники кафедры «Информационная безопасность ЮУрГУ там работают. Что касается коммерческих предприятий, видимо, их сдерживает неверие в эффективность защиты коммерческой тайны, и в первую очередь экономическую эффективность.
Особняком стоит кредитно-финансовая сфера, обладающая своей сложной спецификой, связанной с отраслевыми нормативами по защите информации. И, тем не менее, там тоже успешно работают выпускники кафедры.
Такая ситуация сложилась на рынке защиты информации сегодня, и в разрезе государственной и служебной тайн она, на наш взгляд, вряд ли существенно изменится в ближайшие годы.
Наибольший интерес и озабоченность вызывает сегодня другой вид защищаемой информации – персональные данные. Рассмотрим эту категорию в разрезе спроса и предложения.
Факторами, определяющими спрос на рынке защиты информации Челябинской области, являются:
1. Первый – положительный фактор – большой объем потенциальных услуг по защите персональных данных. Неумолимо приближающаяся дата 1 января 2010 года, когда все информационные системы персональных данных должны быть защищены. Это касается абсолютно всех предприятий и организаций. Конечно, большинство из них вводить в штат специалистов по защите информации не будет, но объем работ все равно настолько велик, что потребуется огромное количество квалифицированной рабочей силы. Если оценивать этот объем в первом приближении, то можно взять количество юридических лиц в нашем регионе (их больше 100 тыс.) и учесть, что в каждом из них есть хотя бы одно автоматизированное рабочее место бухгалтера-кадровика. Примерная трудоемкость работ (для самых простых систем) – 5 человеко-дней. Чтобы решить проблему в течение года (250 рабочих дней), нужно задействовать 2000 специалистов. Это 40 выпусков специалистов из ЮУрГУ. На самом деле цифра больше, так как трудоемкость работ по защите сложных систем – 10 человеко-дней.
Глядя на слабую (мягко говоря) активность работодателей, можно увидеть наличие неких отрицательных факторов.
2. Первый отрицательный фактор – отсутствие финансовых средств на защиту информации. На сегодня они не предусмотрены планом прошлого года. Потому что не знали, сколько предусматривать. Если защищаемое рабочее место – одно, то все понятно, но в случае сложной сети нужно сначала провести обследование (а деньги на него нужно запланировать!), написать «Техническое задание», где будут рассчитаны затраты с разбивкой по годам. Только после этого можно начинать думать, где взять деньги в следующем году, да еще в условиях финансового кризиса. К сожалению, независимо от кризиса, данный фактор сказывается еще и на заработной плате специалиста по защите. Именно зарплатой определяется (и будет определяться еще долго) кадровый голод в организациях, расположенных за пределами Челябинска (и еще может быть Магнитогорска).
3. Второй отрицательный фактор – на сегодняшний день мера наказания за невыполнение закона «О персональных данных» совершенно непонятна. Если в государственной организации хоть выговор можно объявить (от имени вышестоящей), то в коммерческой – и этого не будет.
4. Третий отрицательный фактор (но не последний по значимости!) – наличие персональных данных различного класса. Казалось бы, что тут плохого? А дело в психологии – все знают, что, в первую очередь, контролировать и наказывать станут тех, у кого персональные данные первого класса (например, медицинские учреждения), затем второго класса (например, учреждения образования, регистрации прав собственности и т. д.), а до отделов кадров предприятий очередь дойдет лет через десять (в контролирующих органах тоже не хватает специалистов!).
Описанные проблемы вроде бы понятны. Как же с ними бороться? Как ни странно, проще всего бороться с первым отрицательным фактором. Важно понять, что главное здесь – это начать процесс. Ведь когда первая, пусть малая, часть средств потрачена, то останавливаться уже нецелесообразно ни психологически, ни экономически. А кризис – это явление временное, где-то даже дисциплинирующее. Поэтому надо начинать обследование, а дальше поэтапно решить всю проблему.
Что касается второго фактора, то непонятность – это ведь палка о двух концах – неизвестно каким ударит. В законе (ст. 21) написано, что оператор должен уничтожить персональные данные в случае обнаружения нарушений при их обработке, что равнозначно прекращению деятельности для всех организаций, обрабатывающих данные первого и второго класса. А мера наказания действительно ничем не предусмотрена. Но это тот случай, когда уничтожение данных и есть наказание, и сегодня просто нет нормативного акта с описанием этой процедуры уничтожения. Поэтому в незащищенной системе можно либо ничего не делать с персональными (по минимуму), либо уничтожить их любым способом – по выбору проверяющей стороны, а не по выбору оператора. И если уничтожение всех таких данных в государственной организации представить практически невозможно (зато выговор объявить и с работы уволить – легко), то в случае коммерческой организации наоборот – легко все уничтожить. А выговор, кстати, можно при этом и не объявлять.
Последний, психологический фактор, к сожалению, самый сложный. Во-первых, в случае прямой наводки (например, жалоба физического лица) никто не посмотрит, какой у Вас класс персональных данных, а во-вторых, даже систем с первым классом персональных данных (все больницы и поликлиники!) – огромное количество, и везде сложные сети, так что на всех хватит. Тем более что каждый главный врач будет пытаться экономить деньги, а значит, решать проблему максимально своими силами – наши выпускники – и есть эти потенциальные силы.
Обратимся теперь к факторам, определяющим предложение на рынке защиты информации Челябинской области.
1. Положительно на развитие рынка защиты информации и на квалификацию выпускаемых кадров в Челябинской области влияет довольно значительное количество предприятий – лицензиатов ФСТЭК по защите конфиденциальной информации и государственной тайны. Ведь это – реальные площадки для прохождения практики студентов, причем высокопрофессиональные. В сравнении с соседними регионами наша область выигрывает в этом плане. Например, в Тюменской области всего одно такое предприятие, а в Челябинской области – восемь. В Свердловской области – десять лицензиатов, но там и выпускников, и предприятий гораздо больше.
2. Также положительно сказываются на квалификации будущих специалистов по защите информации усилия кафедры «Информационная безопасность» ЮУрГУ по адаптации учебных планов и программ специальных дисциплин по защите информации по специальности «Организация и технология защиты информации» к потребностям практики защищать персональные данные. И эти усилия дают положительные результаты. Так, выпускники 2009 года представили на суд государственной аттестационной комиссии около десятка дипломных проектов по защите персональных данных, причем некоторые можно назвать блестящими. Это не может не радовать и не вселять надежду в души преподавателей, а значит и работодателей.
Таким образом, наиболее высоким на рынке защиты информации Челябинской области является сегодня спрос на построение систем защиты персональных данных, а также на специалистов по защите информации, способных эти системы создать и управлять ими. Наиболее подготовлены к этой деятельности выпускники специальности 090103 «Организация и технология защиты информации», которых выпускает единственная в Челябинской области кафедра – кафедра «Информационная безопасность» Южно-Уральского государственного университета. Наиболее вероятными работодателями молодых специалистов в плане защиты персональных данных будут в ближайшее время федеральные и региональные (на уровне области и города Челябинска) органы власти и управления.
4.4. Роль международных стандартов
в построении системы защиты
информации предприятия
Стандарты безопасности, издаваемые Международной организацией по стандартизации (ИСО) и Международной электротехнической комиссией приобретают в последнее время все большую значимость в построении комплексной системы защиты информации (КСЗИ) на предприятиях различной отраслевой принадлежности и формы собственности. В целом стандарты безопасности можно разделить на три основные группы:
― стандарты, направленные на построение и управление информационной безопасностью (ISO/IEC 27001 (ГОСТ Р ИСО/МЭК ), , 15408-1,2,3-2002);
― стандарты, описывающие процессы жизненного цикла программных средств (ГОСТ Р ИСО/МЭК );
― стандарты, описывающие методы и средства обеспечения безопасности (ГОСТ Р ИСО/МЭК 13335-1, 3, 4, 5-2006).
Рассмотрим первую группу стандартов, ориентированных на менеджмент информационной безопасности (ИБ).
1. Стандарт ISO/IEC 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности»
Стандарт предназначен для применения организациями любой формы собственности (коммерческими, государственными и некоммерческими организациями). Документ регламентирует требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной системы ИБ с точки зрения процессного подхода.
ГОСТ Р ИСО/МЭК . Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
Вслед за международным стандартом, национальный стандарт России ориентирует организации на применение процессного подхода к управлению ИБ. Разработка, внедрение, обеспечение функционирования, мониторинга, анализа, поддержки и улучшения ИБ должны быть проведены с точки зрения процессного подхода. Процессный подход рассматривает любую деятельность как совокупность действий в целях преобразования входов в выходы, где «вход» – это информация, угрозы или необходимость улучшения чего-либо, а «выход» – достигнутый результат по решению конкретной задачи/операции/проблемы (или преобразованная информация, документация и т. п., служащая основанием для возникновения другого процесса).
Как и в стандартах качества ИСО 9000, 14000, в данном документе прописано, что непрерывное улучшение ИБ должно осуществляться на основе цикла Деминга-Шухарта, состоящего из четырех повторяющихся стадий – PDCA (Plan, Do, Check (Study), Act) означает: (планируй, делай, изучай, действуй). P – планирование действий по процессу (определение стратегии развития, постановка целей и задач в области ИБ); D – реализация процесса (поставленных целей и задач по построению и внедрению системы); C – контроль реализации процесса (и его документирования на основе разработанных критериев); A – анализ результатов процесса в соответствии с целями и задачами (исправление недостатков).
В стандарте описан жизненный цикл и требования к управлению ИБ в организации с момента создания до непрерывного совершенствования, включая управление ресурсами, анализ и аудит, а также документирование процессов.
В соответствии со стандартом документация играет важную роль в описании управления системой ИБ и включает: политику; цели; область функционирования; процедуры и меры управления; описание методологии оценки риска; отчеты по оценке рисков; план обработки рисков; документированные процедуры планирования, внедрения процессов в области ИБ и управления этими процессами; учетные записи; положение о применимости и др.
2. ГОСТ Р ИСО/МЭК «Информационные технологии. Практические правила управления информационной безопасностью»
Стандарт устанавливает рекомендации по управлению ИБ лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями.
В стандарте (как и в ГОСТ Р ИСО/МЭК ) поставлен акцент создание организационных документов в области ИБ – необходимость создания политики и целей информационной безопасности, а также назначения должностного лица (руководителя службы безопасности или инженера по защите информации). В соответствии со стандартом возникает необходимость разработки должностной инструкции данного специалиста, в которой будет регламентирована ответственность данного лица за пересмотр политики в соответствии с изменениями внешней среды.
Кроме того, в стандарте дано значительное количество рекомендаций по обеспечению информационной безопасности в соответствии с разделами: организационные вопросы безопасности; классификация и управление активами; вопросы безопасности, связанные с персоналом; физическая защита и защита от воздействий окружающей среды; управление передачей данных и операционной деятельностью; контроль доступа, разработка и обслуживание систем; управление непрерывностью бизнеса; соответствие требованиям стандартов.
3 ГОСТ Р ИСО/МЭК 2, ГОСТ Р ИСО/МЭК 2, ГОСТ Р ИСО/МЭК 2 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»
Все три части содержат общие критерии оценки безопасности информационных технологий.
Часть 1 «Введение и общая модель» устанавливает общий подход к формированию требований к оценке безопасности (функциональные и доверия), основные конструкции (профиль защиты, задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности объекта оценки по методологии общих критериев определяются исходя из целей безопасности, которые, в свою очередь, основываются на анализе назначения объекта оценки и условий среды его использования (угроз, предложений, политики безопасности).
Часть 2 «Функциональные требования безопасности» содержит универсальный систематизированный каталог функциональных требований (компонентов, семейств и классов) безопасности и предусматривает возможность их детализации и расширения по определенным правилам.
Часть 3 «Требования доверия к безопасности» включает в себя систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям. Здесь же содержатся оценочные уровни доверия, определяющие шкалу требований, которые позволяют с возрастающей степенью полноты и строгости оценить проектную, тестовую и эксплуатационную документацию, правильность реализации функций безопасности ОО, уязвимости продукта или системы ИТ, стойкость механизмов защиты и сделать заключение об уровне доверия к безопасности объекта оценки.
Таким образом, стандарты первой группы регламентируют управление ИБ на основе процессного подхода и отражают весь жизненный цикл документирования и построения системы ИБ, включая критерии оценки безопасности ИТ.
Вторая группа стандартов ИБ описывает процессы жизненного цикла программных средств.
Рассмотрим ГОСТ Р ИСО/МЭК «Информационная технология. Процессы жизненного цикла программных средств».
Стандарт предназначен и применяется при приобретении систем, программных продуктов и оказании соответствующих услуг; а также при поставке, разработке, эксплуатации и сопровождении программных продуктов и программных компонентов программно-аппаратных средств как в самой организации, так и вне ее. В стандарте прописан жизненный цикл программных средств, включая контроль и модернизацию всех процессов.
Основные процессы реализуются под управлением сторон (заказчик, поставщик, разработчик, оператор и персонал сопровождения программных продуктов), вовлеченных в жизненный цикл программных средств. Основные процессы жизненного цикла включают: заказ, поставку, разработку, эксплуатацию и сопровождение. Вспомогательные процессы состоят из: документирования, управления конфигурацией, обеспечения качества, верификации (проверки), аттестации, анализа, аудита, решения проблемы. Организационные процессы жизненного цикла, как правило, являются типовыми, независимо от области реализации конкретных проектов и договоров и состоят из: управления, создания инфраструктуры, усовершенствования и обучения.
Третья группа стандартов ИБ описывает методы и средства обеспечения безопасности.
ГОСТ Р ИСО/МЭК 6, ГОСТ Р ИСО/МЭК 6, ГОСТ Р ИСО/МЭК 6, ГОСТ Р ИСО/МЭК 6 «Информационная технология. Методы и средства обеспечения безопасности»
Часть 1. «Информационная технология. Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности. Приведенные в стандарте положения носят общий характер, они применимы к различным методам управления и организациям.
Стандарт устанавливает, что руководство организации несет ответственность за обеспечение безопасности активов, а обязанности и ответственность должны быть определены и доведены до сведения персонала. Это значит, что в каждой должностной инструкции сотрудника, связанного с обеспечением безопасности ИТТ должна быть установлена такая ответственность. Кроме того, стандарт (как и ГОСТ Р ИСО/МЭК ) предписывает разработать цели, стратегии и политики в данной области. Вне зависимости от организационной структуры или документации, принятой в организации, важно, чтобы учитывались различные стороны политики и поддерживалась их согласованность (бизнес политика – политика маркетинга – политика ИТТ – политика безопасности – политика информационной безопасности – политика безопасности ИТТ и др.). Жизненный цикл системы ИТТ разделен в стандарте на четыре типовые фазы: планирование, приобретение, тестирование, эксплуатация. Обеспечение безопасности ИТТ рассматривается в стандарте как постоянный процесс с множеством обратных связей внутри и между фазами жизненного цикла системы ИТТ.
Часть 3. Информационная технология. Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий» рассматривает методы обеспечения безопасности более подробно, основываясь на концепциях и моделях, представленных в ИСО/МЭК 13335-1.
Часть 4. «Информационная технология. Методы и средства обеспечения безопасности. Выбор защитных мер» является руководством по выбору защитных мер с учетом потребностей и проблем безопасности организации, в нём описан процесс выбора защитных мер в соответствии с риском системы безопасности и с учетом особенностей окружающей среды. Стандарт устанавливает способы достижения соответствующей защиты на основе базового уровня безопасности. Подход к выбору защитных мер согласован с методами управления безопасностью информационных технологий, приведенными в ИСО/МЭК ТО 13335-3.
Часть 5. «Информационная технология. Методы и средства обеспечения безопасности. Руководство по менеджменту безопасности сети» представляет собой руководство по управлению безопасностью сетями для персонала, ответственного за эту деятельность, и содержит основные положения по выявлению и анализу факторов, имеющих отношение к компонентам безопасности связи. Стандарт основан на положениях ИСО/МЭК 13335-4 путем описания метода идентификации и анализа выбора контролируемых зон, имеющих отношение к сетевым соединениям, с точки зрения обеспечения безопасности.
Следует отметить, что в рассмотренных международных стандартах стадии жизненного цикла и модели прописаны не вполне тщательно, даны лишь направления для улучшения процессов. На наш взгляд, для более качественного описания и построения ИБ организации следует применять методологию Rational Unified Process. Rational Unified Process (RUP) — методология разработки программного обеспечения, созданная компанией Rational Software.
В методологии Rational Unified Process применяется итеративный подход, система строится циклично, по окончанию каждой итерации получается промежуточная, но функциональная версия конечного продукта. Итеративная разработка позволяет быстро реагировать на меняющиеся требования, обнаруживать и устранять риски на ранних стадиях проекта, а также эффективно контролировать качество создаваемого продукта. Наработки данной методологии необходимо применить при построении модели комплексно системы защиты информации.
RUP использует итеративную модель разработки. В конце каждой итерации (в идеале продолжающейся от 2 до 6 недель) проектная команда должна достичь запланированных на данную итерацию целей, создать или доработать проектные артефакты и получить промежуточную, но функциональную версию конечного продукта. Итеративная разработка позволяет быстро реагировать на меняющиеся требования, обнаруживать и устранять риски на ранних стадиях проекта, а также эффективно контролировать качество создаваемого продукта.
Полный жизненный цикл разработки продукта состоит из четырех фаз, каждая из которых включает в себя одну или несколько итераций (рис. 4).
На этапе «Начальная стадия»: формируются видение и границы проекта; создается экономическое обоснование (business case); определяются основные требования, ограничения и ключевая функциональность продукта; создается базовая версия модели прецедентов; оцениваются риски. При завершении начальной стадии оценивается достижение вехи целей жизненного цикла (англ. Lifecycle Objective Milestone), которое предполагает соглашение заинтересованных сторон о продолжении проекта.
На этапе «Уточнение» (проектирование) производится анализ предметной области и построение исполняемой архитектуры. Это включает в себя: документирование требований (включая детальное описание для большинства прецедентов); спроектированную, реализованную и оттестированную исполняемую архитектуру; обновленное экономическое обоснование и более точные оценки сроков и стоимости; сниженные основные риски; успешное выполнение фазы проектирования означает достижение вехи архитектуры жизненного цикла.
Рис. 4. Полный жизненный цикл в соответствии с RUP
На этапе «Конструирование происходит реализация большей части функциональности продукта. Фаза «Построение» завершается первым внешним релизом системы и вехой начальной функциональной готовности (Initial Operational Capability).
На этапе «Внедрение» создается финальная версия продукта и передается от разработчика к заказчику. Это включает в себя программу бета-тестирования, обучение пользователей, а также определение качества продукта. В случае, если качество не соответствует ожиданиям пользователей или критериям, установленным в фазе «Начальная стадия», фаза «Внедрение» повторяется снова. Выполнение всех целей означает достижение вехи готового продукта (Product Release) и завершение полного цикла разработки.
Таким образом, рассмотренные нами международные стандарты направлены на обеспечение информационной безопасности предприятия, как с организационной, так и с технической точки зрения. В любой организации необходимо:
― создать специализированную службу по защите информации;
― разработать пакет организационно-технических документов, регламентирующих управление и верификацию систем защиты информации;
― определить, регламентировать и строго документировать процессы полного жизненного цикла ИТТ для организации их защиты;
― проводить регулярный аудит объектов защиты информации;
― осуществить аттестацию объектов защиты информации.
Перечисленные меры, основанные на методологии менеджмента качества, заложенной в стандартах ИСО 9000, 14000, ИСО/МЭК, ГОСТ Р ИСО/МЭК и методологии Rational Unified Process позволяют построить модель комплексной системы защиты информации, обеспечить и повысить качество защиты информации в любой организации.
4.5. Документационное обеспечение защиты
информации на предприятиях региона
Вслед за ведущими странами Западной Европы (Великобритания, Франция, Германия, Швейцария), Россия все больше внимания уделяет различным аспектам информационной безопасности: развитию структуры органов защиты информации, правовому обеспечению защиты информации и др.
На федеральном уровне разработан и введен в действие целый пакет документации: Доктрина информационной безопасности [52], Концепции [80, 83], Федеральные законы и Законы Российской Федерации [58, 60, 169, 170, 171, 172, 173], Указы президента Российской Федерации [157, 158, 159, 160], Постановления Правительства Российской Федерации [121, 122], руководящие документы [118, 138, 139], национальные стандарты [103, 104] и др., регламентирующей защиту информации на бумажных и электронных носителях.
На отраслевом уровне (например, в банковской системе) разрабатываются стандарты, рекомендации, методические указания [145, 146, 147] и др., регулирующие работу с информационными активами и обеспечение их безопасности (информационной безопасности).
На локальном уровне также активно утверждаются соответствующие нормативно-методические документы, позволяющие организовать систему защиты информации на предприятии (Политики, регламенты, инструкции и т. п.).
Возрастает спрос на корпоративные системы безопасности. Бюджеты предприятий на защиту информации растут с каждым годом. ИТ-компании создают оптимальные решения для малого бизнеса. По оценке Д. Кузнецова, начальника отдела автоматизации банковских расчетов уральского филиала : «При грамотной политике безопасности внешнюю угрозу можно свести к нулю…Единственный фактор, который действительно может серьезно угрожать безопасности, нечистоплотность сотрудников» [111]. На наш взгляд данную проблему можно решить путем издания документации по защите информации, которая поставит в жесткие рамки «нечистоплотных сотрудников».
Руководители челябинских компаний проявляют все больший интерес к системе защиты информации партнера, т. к. высокая степень защиты – это сегодня конкурентное преимущество. «Защита информации приобретает очертание планомерного процесса. По оценке Д. Шмакова, директора «ИТ Энигма», «люди начинают понимать, что информация это те же деньги, которые нужно хранить» [111].
В настоящее время в организациях внедряются системы информационной безопасности в т. ч. в соответствии с международным стандартом ISO 27001. Такие процессы проходят в Челябинских филиалах , Сбербанк России, , ; ИТ -ЧТПЗ»; трубопрокатный завод». Модернизации и созданию системы защиты информации уделяется немало внимание в «ЦветМетПром», , «Цветлит», -Газ», -Трэй», , «ParkCity», АН «Копаньон», муниципальных и частных медицинских учреждениях и многих других.
Cертификаты соответствия ISO/IEC 27001:2005 получили такие организации, как ***** (Екатеринбург); CMA Small Systems AB (Москва); CROC incorporated, CSC (Москва); LANIT, CSC (Москва); Lukoil-Inform, LLC (Москва); Luxsoft (Ростов на Дону, Волгоград); Multiregional TransitTelecom, OJSC (Москва); Rosno, SC (Москва); Rutenia, JSC (Москва); TransTeleCom (Москва) [199]. Многие из перечисленных организаций имеют филиалы в г. Челябинске.
Итак, организации Челябинской области различных форм собственности и отраслевой принадлежности разрабатывают собственные системы, обеспечивающие информационную безопасность предприятия. Рассмотрим видовой состав этой документации.
В банковской сфере разработка документации по обеспечению информационной безопасности (ИБ) основана на методологии международных стандартов качества ISO 9000, ISO/IEC 12207, ISO/IEC 27000 и др.
Так, документы по информационной безопасности банков и кредитных организаций включают:
1-й уровень – корпоративная политика ИБ;
2-й уровень – частные политики (Политика ИБ, Политика антивирусной защиты, Политика безопасности систем информационных и коммуникационных технологий), концепции, стандарты технологий обеспечения ИБ, планы мероприятий по обеспечению ИБ (аудита, обучения, аттестации…) и др.;
3-й уровень – процедуры, положения, правила, инструкции, должностные инструкции, руководства, технические задания, регламенты, приказы, методические указания по обеспечению ИБ и др.;
4-й уровень – подтверждающие документы о достигнутых результатах (договоры, акты, протоколы, отчеты, реестры, обязательства, листы ознакомления, журналы регистрации, ведомости, схемы и др.)
Организации, предоставляющие образовательные (в основном вузы), риэлтерские (агентства), медицинские (МСЧ, частные медицинские центры и др.), страховые (страховые компании), развлекательные (комплексы, кинотеатры и др.) услуги делают акцент на защите персональных данных.
Эта документация, как правило, содержит: модели угроз безопасности персональных данных; инструкции (Об организации антивирусной защиты; организации физической охраны информационной системы (ИС); учета материальных носителей информации; по установке, модификации и обслуживанию технических и программных средств ИС; по организации парольной защиты; пользователя локальной сети; контроля доступа в помещение по обработке персональных данных и др.); приказы (о введение в действие ИС, классификации ИС и др.); перечни (персональных данных; лиц, допущенных до обработки персональных данных (ПД)); уведомления об обработке ПД; согласия субъектов по обработке ПД; заявки (на модификацию ИС, на допуск сотрудников в помещения по обработке ПД); технические паспорта на ИС; схемы видеонаблюдения; журналы учета (паролей, материальных носителей, инвентаризации ИС и др.), ведомости объектов защиты и многие другие.
Наряду с банковской (казначейства, банки, кредитные организации и др.) и нефтегазовой сферой, систему защиты информации ограниченного доступа и конфиденциального характера активно разрабатывают Интернет-провайдеры, провайдеры IP-телефонии, торговые предприятия, строительные и консалтинговые организации малого и среднего бизнеса.
Пакет документации по данным направлениям включает: политики защиты информации (по направлениям деятельности); модели нарушителей; стандарты (на документированные процедуры, технологические операции по защите информации и др.); положения (о деятельности, о режиме, о методиках и технологиях и др.); руководства (технологические); инструкции (должностные, о деятельности, по эксплуатации, пользовательские и др.); регламенты (организации доступа к ресурсам, к сведениям, использования мобильных устройств; защиты; пользовательские и др.); перечни (информации/ сведений, оборудования, программных средств, должностных лиц, рабочих мест, объектов защиты и др.); планы (развития, совершенствования, корректирующих действий и др.); технические задания (на создание системы защиты информации, совершенствование и др.); приказы (об организации деятельности, о создании служб по защите информации, о назначении ответственных, об определении границ контролируемых зон и др.), соглашения, договоры, акты (классификации, завершения работ, приема в эксплуатацию, проверки наличия; уничтожения документной информации и др.), обязательства (о неразглашении); рекомендации; схемы (расположения объектов защиты, видеонаблюдения и др. оборудования); паспорта рабочих мест; ведомости (или матрицы доступа, объектов защиты, кодов и паролей и др.); заявки (на подключение, установку, предоставление или изменение прав доступа и др.); журналы регистрации или карточки учета (документов/ дел, должностных лиц, в т. ч. передачи информации/ документов и др.) и др.
Таким образом, деятельность организации по обеспечению информационной безопасности отражается во всех организационно-распорядительных документах, которые создаются на основе законодательных актов и нормативных документов Российской Федерации (федеральный и отраслевой уровни), а также локальных нормативно-правовых документов. В структуре документации четко прослеживается иерархия управления. На стратегическом уровне (1 – 2-й уровни) управления создаются концептуальные документы, определяющие стратегию организации в области защиты информации, на тактическом уровне (3-й уровень) разрабатываются и прописываются процедурные документы, определяющие технологию защиты информации, а на тактическом уровне (4-й уровень) возникают записи – свидетельства достигнутых результатов в области защиты информации.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
