Противодействие угрозами информационной безопасности организации со стороны собственного персонала

–   целостность (англ. integrity) – избежание несанкционированной модификации информации;

–   доступность (англ. availability) – избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

–   неотказуемость или апеллируемость (англ. non-repudiation) – невозможность отказа от авторства;

–   подотчётность (англ. accountability) – обеспечение идентификации субъекта доступа и регистрации его действий;

–   достоверность (англ. reliability) – свойство соответствия предусмотренному поведению или результату;

–   аутентичность или подлинность (англ. authenticity) – свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:[2]

1. Законодательная, нормативно-правовая и научная база.

2. Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ.

3. Организационно-технические и режимные меры и методы (Политика информационной безопасности).

4. Программно-технические способы и средства обеспечения информационной безопасности.

Ниже в данном разделе дипломной работы подробно будет рассмотрена каждая из составляющих информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:

–   выявить требования защиты информации, специфические для данного объекта защиты;

–   учесть требования национального и международного Законодательства;

–   использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;

–   определить подразделения, ответственные за реализацию и поддержку СОИБ;

–   распределить между подразделениями области ответственности в осуществлении требований СОИБ;

–   на базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности объекта защиты;

–   реализовать требования Политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации;

–   реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);

–   используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости пересмотр и корректировку СОИБ и СМИБ.

Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

1) Акты федерального законодательства:

–   Международные договоры РФ;

–   Конституция РФ;

–   Законы федерального уровня (включая федеральные конституционные законы, кодексы);

–   Указы Президента РФ;

–   Постановления правительства РФ;

–   Нормативные правовые акты федеральных министерств и ведомств;

2) Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

К нормативно-методическим документам можно отнести

1) Методические документы государственных органов России:

–   Доктрина информационной безопасности РФ;

–   Руководящие документы ФСТЭК (Гостехкомиссии России);

–   Приказы ФСБ;

2) Стандарты информационной безопасности, из которых выделяют:

–   Международные стандарты;

–   Государственные (национальные) стандарты РФ;

–   Рекомендации по стандартизации;

–   Методические указания.

Таким образом, под информационной безопасностью бизнеса мы понимаем совокупность всех используемых приемов и методов, позволяющих обеспечивать сохранность конфиденциальной информации в рамках каждой конкретной компании.

К сожалению, не все руководители системно подходят к решению данного вопроса, о чем потом глубоко сожалеют.

Типичной ошибкой в процессе подбора персонала является стремление работодателя во что бы то ни стало заполучить сотрудника из конкурирующей организации. Это чаще всего объясняется желанием приобрести клиентскую базу или другую конфиденциальную информацию. И здесь организация может натолкнуться на подводные камни.

Во-первых, следует понимать, что такой сотрудник когда-нибудь с легкостью «продаст» и вашу компанию, если получит более выгодное предложение. Во-вторых, такой сотрудник может быть шпионом, «засланным казачком» от конкурентов. И это случается гораздо чаще, чем может показаться! Вы не пробовали связывать неожиданное появление в вашем офисе налоговой полиции с «работой» нового сотрудника.

Работодатели сами неосознанно создают ситуации, позволяющие персоналу безответственно относиться к информационной безопасности. Из-за этого значительное количество информации утекает из фирмы, причем зачастую сотрудники даже этого не осознают.

Например, одна известная компания практически отдала свою дилерскую сеть конкурентам из-за небрежности секретаря. Направляя письма дилерам и возможным клиентам, секретарь сделал автоматическую рассылку по электронной почте, не понимая, что каждый адресат вместе с сообщением получит электронные адреса всех остальных получателей информации.

Чаще всего утечка информации происходит по вине сотрудников, которые понимают, что они делают, так как получают за это немалое вознаграждение.

Эти недопущения можно избежать. Начнем с технических мер. Во-первых, важно иметь систему для прослушивания, которая позволяет контролировать как телефонные переговоры, так и все, о чем говорится в различных помещениях вашей фирмы. Во-вторых, в некоторых помещениях необходимо наличие видеоконтроля. В-третьих, вся информация, хранящаяся в электронном виде в компьютерах, также должна быть максимально защищена. Каждый сотрудник должен иметь свой код доступа к той или иной информации.

Прежде чем приобретать оборудование, следует разработать программу по защите информации в вашей компании. И в этой программе не последнюю роль играет работа с персоналом.

В первую очередь с каждым новым сотрудником необходимо заключать контракт о неразглашении информации, имеющей для компании конфиденциальный характер. В настоящее время фирме, работающей в нашей стране, нелегко доказать, что она понесла серьезный материальный ущерб в связи с тем, что сотрудник способствовал утечке конфиденциальной информации, хотя во всем мире это обычная судебная практика.

Поэтому контракт будет иметь не столько юридическое, сколько психологическое воздействие на работника: это своего рода проверка того, как он реагирует на подписание документа.

Работники должны знать о наличии видеонаблюдения и прослушивания. Это играет важную психологическую роль: ведь когда ты знаешь, что тебя могут услышать, ты вряд ли станешь вести переговоры с фирмой-конкурентом.

Очень важным фактором, влияющим на лояльность сотрудников по отношению к фирме, является отношение руководства фирмы к персоналу, в целом психологический климат в организации. Поэтому большое внимание следует уделять социальным программам, наличие которых снижает вероятность проявления нелояльности по отношению к работодателю.

При приеме специалиста на работу необходимо навести справки о его последнем месте работы, выяснить, есть ли у него судимости, привлекался ли он к уголовной или административной ответственности и т.п. Особое внимание стоит уделять причинам, по которым специалист меняет работу.

На начальном этапе работы стоит минимизировать доступ к особо секретной внутренней документации, провести предварительную стажировку нового сотрудника, а в ряде случаев создать специальные внештатные ситуации, в ходе которых можно выявить недобросовестного сотрудника. Защита информации невозможна без понимания того, что именно и от кого следует защищать. А добиться от персонала такого понимания трудно без четкой организации работы компании в целом и отдельно каждого сотрудника.

Поэтому так важно, чтобы в фирме строго соблюдались должностные инструкции, внутрифирменные приказы и распоряжения, связанные с организацией труда. Сотрудники должны четко знать, как следует вести себя в экстремальных ситуациях (например в случае ограбления магазина), и здесь технические, психологические и информационные методы обеспечения безопасности должны дополнять друг друга.

При возникновении проблем утечки информации или с появлением сомнений относительно лояльности персонала по отношению к фирме необходимо обратиться в компетентные организации, занимающиеся решением такого рода вопросов, чтобы в ходе специальных проверок были выявлены все слабые места в структуре вашей компании и приняты меры по их ликвидации.

1.2 Обеспечение информационной безопасности

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая «Политика информационной безопасности» или «Политика безопасности рассматриваемой информационной системы.»[3]

Политика безопасности (информации в организации) (англ. Organizational security policy) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

–   защита объектов информационной системы;

–   защита процессов, процедур и программ обработки информации;

–   защита каналов связи;

–   подавление побочных электромагнитных излучений;

–   управление системой защиты.

По каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

1. Определение информационных и технических ресурсов, подлежащих защите;

2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;

3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

4. Определение требований к системе защиты;

5. Осуществление выбора средств защиты информации и их характеристик;

6. Внедрение и организация использования выбранных мер, способов и средств защиты;

7. Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях – для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799–2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, огранизацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.