БЕЗОПАСНОСТЬ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ

Служба информационной безопасности СИБ

Одним из основных компонентов организационного обеспечения информационной безопасности компании является Служба информационной безопасности (СИБ - орган управления системой защиты информации).

Именно от профессиональной подготовленности сотрудников службы информационной безопасности, наличия в их арсенале современных средств управления безопасностью во многом зависит эффективность мер по защите информации. Ее штатная структура, численность и состав определяются реальными потребностями компании, степенью конфиденциальности ее информации и общим состоянием безопасности.

Основная цель функционирования СИБ, используя организационные меры и программно-аппаратные средства, - избежать или хотя бы свести к минимуму возможность нарушения политики безопасности, в крайнем случае, вовремя заметить и устранить последствия нарушения.

Для обеспечения успешной работы СИБ необходимо определить ее права и обязанности, а также правила взаимодействия с другими подразделениями по вопросам зашиты информации на объекте. Численность службы должна быть достаточной для выполнения всех возлагаемых на нее функций. Желательно, чтобы штатный состав службы не имел обязанностей, связанных с функционированием объекта защиты. Служба информационной безопасности должна быть обеспечена всеми условиями, необходимыми для выполнения своих функций.

Ядром инженерно-технического направления являются программно-аппаратные средства защиты информации, к которым относятся механические, электромеханические, электронные, оптические, лазерные, радио- и радиотехнические, радиолокационные и другие устройства, системы и сооружения, предназначенные для обеспечения безопасности и защиты информации.

Под программным обеспечением безопасности информации понимается совокупность специальных программ, реализующих функции защиты информации и режима функционирования.

Сформированная совокупность правовых, организационных и инженерно- технических мероприятий выливается в соответствующую политику безопасности.

Политика безопасности определяет облик системы защиты информации в виде совокупности правовых норм, организационных (правовых) мер, комплекса программно- технических средств и процедурных решений, направленных на противодействие угрозам для исключения или минимизации возможных последствий проявления информационных воздействий. После принятия того или иного варианта политики безопасности необходимо оценить уровень безопасности информационной системы. Естественно, что оценка защищенности производится по совокупности показателей, основными из которых являются стоимость, эффективность, реализуемость.

Оценить варианты построения системы защиты информации - задача достаточно сложная, требующая привлечения современных математических методов многопараметрической оценки эффективности. К ним относятся: метод анализа иерархий, экспертные методы, метод последовательных уступок и ряд других.

Когда намеченные меры приняты, необходимо проверить их действенность, то есть убедиться, что остаточные риски стали приемлемыми. Только после этого можно намечать дату ближайшей переоценки. В противном случае придется проанализировать допущенные ошибки и провести повторный сеанс анализа уязвимости с учетом изменений в системе защиты.

Сформированный возможный сценарий действий нарушителя требует проверки системы защиты информации. Такая проверка называется «тестированием на проникновение».

Цель - предоставление гарантий того, что для неавторизованного пользователя не существует простых путей обойти механизмы защиты.

Один из возможных способов аттестации безопасности системы - приглашение хакеров для взлома без предварительного уведомления персонала сети. Для этого выделяется группа из двух-трех человек, имеющих высокую профессиональную подготовку. Хакерам предоставляется в распоряжение автоматизированная система в защищенном исполнении, и группа в течение 1-3 месяцев пытается найти уязвимые места и разработать на их основе тестовые средства для обхода механизмов защиты. Наемные хакеры представляют конфиденциальный доклад по результатам работы с оценкой уровня доступности информации и рекомендациями по улучшению защиты.

Наряду с таким способом используются программные средства тестирования.

На этапе составления плана защиты в соответствии с выбранной политикой безопасности разрабатывается план его реализации. План защиты является документом, вводящим в действие систему защиты информации, который утверждается руководителем организации. Планирование связано не только с наилучшим использованием всех возможностей, которыми располагает компания, в том числе выделенных ресурсов, но и с предотвращением ошибочных действий, могущих привести к снижению эффективности предпринятых мер по защите информации.