Организация службы безопасности. Беспроводная корпоративная сеть

                  1 Введение 

    Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и  доступность информации могут существенно  способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.

    Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как  компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными.

    Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.

    При проектировании многих информационных систем вопросы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.

    Управление  информационной безопасностью нуждается, как минимум, в участии всех сотрудников  организации. Также может потребоваться  участие поставщиков, клиентов или  акционеров. Кроме того, могут потребоваться  консультации специалистов сторонних организаций.

    Мероприятия по управлению в области информационной безопасности обойдутся значительно  дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы. 

    2 Описание службы безопасности

    Структуру управления следует создавать так, чтобы она способствовала инициации и осуществлению контроля за внедрением информационной безопасности в организации.

    2.1 Структура службы безопасности

    Из  схемы, приведенной в приложении № 1 видно, что служба безопасности относится к категории крупных подразделений и сфера её деятельности весьма широка, от работы с коммерческой информацией и документами до транспортировки ценностей и защиты от прослушивания. Численный состав службы зависит от количества и размеров объектов фирмы и может составлять несколько десятков сотрудников, в обязательном порядке высококвалифицированных и имеющих практический опыт в аналогичных структурах государственного сектора.

    Теперь  рассмотрим каждую группу (сектор) по отдельности:

1. Положение о группе режима.
1. Общие положения.
1. Сектор режима является подразделением отдела режима и охраны службы безопасности и подчиняется непосредственно начальнику отдела;
2. В своей деятельности сектор руководствуется требованиями «Инструкции по режиму и охране» в части режима.
2. Задачи.
1. Организация пропускного и внутри объектного режима;
2. Разработка разрешительной системы и обеспечение допуска сотрудников к документам, материалам и сведениям, составляющим коммерческую тайну;
3. Контроль за соблюдением режима допуска к сведениям и документам;
4. Совершенствование системы пропускного и внутри объектного режима;
5. Участие в разработке «Перечня сведений, составляющих коммерческую тайну».
3. Структура.
1. Заведующий сектором режима;
2. Старший инспектор по режиму — начальник бюро пропусков;
3. Инспектор по режиму;
4. Инспектор по работе с персоналом, допущенным к сведениям, составляющим коммерческую тайну.
4. Функции.
1. Права, обязанности и ответственность сотрудников, допущенных к работе с документами, содержащими коммерческую тайну;
2. Схема выдачи разрешений на доступ сотрудников к сведениям, составляющим коммерческую тайну;
3. Порядок доступа на совещания по вопросам, содержащим сведения, составляющие коммерческую тайну;
4. Порядок и контроль доступа к сведениям, составляющим коммерческую тайну, представителей других предприятий и государственных органов;
5. Ведение, уточнение и изменение «Перечня сведений, составляющих коммерческую тайну";
6. Учет сотрудников, допущенных к работе с документами и материалами, содержащими сведения, составляющие коммерческую тайну;
7. Учет и анализ нарушений режима работы с документами, содержащими коммерческую тайну, различного рода попыток несанкционированного доступа к конфиденциальным документам традиционного и автоматизированного исполнения (базы данных, персональные файлы и др.), случаев телефонных переговоров, содержащих конфиденциальную информацию;
8. Организация и проведение деловых совещаний, переговоров и встреч с обсуждением вопросов, связанных с коммерческой тайной;
9. Организация и обеспечение пропускного и внутри объектного режима: выдача пропусков (постоянных, временных, разовых), порядок посещения, учет посетителей;
10. Определение выделенных помещений, проведение их паспортизации, обеспечение их защиты совместно с группой Инженерно-технической защиты информации;
11. Беседы с поступающими на работу в подразделения, работа которых связанна с коммерческой тайной, с целью установления их пригодности для этой работы;
12. Изучение поступающего на работу в части его прошлой трудовой деятельности;
13. Оформление обязательств о неразглашении сведений, составляющих коммерческую тайну;
14. Анализ служебной осведомленности сотрудников;
15. Анализ и учет трудовой удовлетворенности с целью предупреждения увольнения сотрудников, допущенных к сведениям, составляющим коммерческую тайну;
16. Ведение досье на сотрудников, допущенных к документам с коммерческой тайной;
17. Организация обучения сотрудников по вопросам защиты коммерческой тайны;
18. Беседы с увольняющимися и оформление контракта (обязательства) не разглашать коммерческие секреты;
19. Разрабатывает планы комплектования кадрами;
20. Оформляет прием, перевод и увольнение сотрудников, допущенных к коммерческой тайне;
21. Готовит материалы для преставления сотрудников к поощрениям и должностным перемещениям.
5. Права.
1. Проводить беседы с поступающими на работу и увольняющимися и оформлять обязательства не разглашать коммерческие секреты;
2. Требовать от сотрудников и клиентов строгого выполнения установленного пропускного и внутриобъектового режима;
3. Проводить проверку состояния и организации работы по обеспечению режима работы с документами, составляющими коммерческую тайну;
4. Требовать от сотрудников письменных объяснений по фактам нарушения пропускного и внутриобъектового режима;
5. Возбуждать ходатайства перед руководством о привлечении к дисциплинарной ответственности лиц, допустивших нарушения режима;
6. Представлять к поощрениям сотрудников, добросовестно выполняющих обязанности по сохранению в тайне охраняемых сведений.
6. Ответственность.
1. Всю полноту ответственности за выполнение задач и функций по режиму и работе с персоналом несет заведующий сектором режима;
2. Степень ответственности других сотрудников сектора устанавливается должностными инструкциями.
2. Положение о группе охраны.
1. Общие положения.
1. Сектор охраны является подразделением отдела режима и охраны службы безопасности и подчиняется непосредственно начальнику отдела;
2. В своей деятельности сектор руководствуется требованиями «Инструкции по режиму и охране» в части охраны.
2. Задачи.
1. Обеспечение надежной защиты зданий, помещений, оборудования, валютных и материальных ценностей, а также личной охраны руководящего состава в обычных и экстремальных условиях.
3. Структура.
1. Комендантская служба (может состоять из коменданта здания, дежурного мастера по вневедомственной и объектовой технической охране и дежурного мастера по противопожарной охране);
2. Группа личной охраны руководства.
4. Функции.
1. Сектор охраны осуществляет охрану зданий, помещений, оборудования, линий связи и перевозок, пожарную охрану, а также личную охрану руководящего состава;
2. Сектор охраны обеспечивает необходимые условия, исключающие несанкционированный доступ в охраняемые здания, помещения, отдельные конфиденциальные участки и зоны территории и служебных помещений. Особое внимание уделяется критическим условиям, связанным со стихийными бедствиями, поломками, авариями;
3. Реализует учет, контроль и наблюдение за охраняемыми зонами, помещениями, хранилищами;
4. Обеспечивает установку и работу на местах технических средств охраны, охранной и пожарной сигнализации;
5. Осуществляет прием под охрану и сдачу в эксплуатацию охраняемых помещений, проверяя при этом надежное срабатывание средств охраны, делая соответствующую запись в журнале приема и сдачи под охрану;
6. Принимает меры по ликвидации возможных пожаров и других аварийных ситуаций.
7. В части личной охраны руководящего состава сектор руководствуется отдельным положением, разрабатываемым службой безопасности с учетом конкретных условий ее деятельности.
5. Права.
1. Проверять наличие, состояние и функционирование технических средств охраны охранной и пожарной сигнализации;
2. Требовать строгого соблюдения установленного внутриобъектового режима и правил трудового распорядка;
3. Участвовать в разработке мероприятий по усилению безопасности и сохранности имущества, средств, зданий и помещений;
4. Не допускать случаев использования неисправного оборудования, охранной и пожарной техники;
5. Принимать меры воздействия к сотрудникам, допускающим порчу или неправильную эксплуатацию охранно-пожарной техники;
6. Требовать своевременного ремонта и профилактики технических средств охраны и пожарной сигнализации.
6. Ответственность.
1. Всю полноту ответственности за качество и своевременное выполнение возложенных на сектор настоящим Положением задач и функций несет заведующий сектором.
3. Положение о технической группе.
1. Общие положения.
1. Группа инженерно-технической защиты информации является структурным подразделением службы безопасности и подчиняется непосредственно начальнику службы;
2. В своей деятельности группа руководствуется требованиями «Инструкции по Инженерно-технической защите».
2. Задачи.
1. Обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования;
2. Выявление и оценка степени опасности технических каналов утечки информации;
3. Разработка мероприятий по ликвидации (локализации) установленных каналов утечки информации организационными, организационно-техническими или техническими мерами, используя для этого физические, аппаратные и программные средства и математические методы защиты;
4. Организация контроля (в том числе и инструментального) за эффективностью принятых защитных мероприятий. Проведение обобщения и анализа результатов контроля и разработка предложений по повышению надежности и эффективности мер защиты;
5. Обеспечение приобретения, установки, эксплуатации и контроля состояния технических средств защиты информации.
3. Структура.
1. Структура и штатный состав группы Инженерно-технической защиты информации разрабатывается и утверждается руководством службы безопасности исходя из конкретных условий и технической оснащенности подразделений предприятия;
2. В состав группы могут входить руководитель группы (старший инженер) и Инженер (техник) группы по спец измерениям.
4. Функции.
1. Определение границ охраняемой (контролируемой) территории (зоны) с учетом возможностей технических средств, наблюдения злоумышленников;
2. Определение технических средств, используемых для передачи, приема и обработки конфиденциальной информации в пределах охраняемой (контролируемой) территории (зоны);
3. Определение опасных, с точки зрения возможности образования каналов утечки, технических средств;
4. Локализация возможных каналов утечки информационно-организационными, организационно-техническими или техническими средствами и мероприятиями;
5. Организация наблюдения за возможным неконтролируемым излучением за счет ПЭМИН (побочных электромагнитных излучений и наводок);
6. Организация контроля наличия, проноса каких-либо предметов (устройств, средств, механизмов) в контролируемую зону, способных представлять собой технические средства несанкционированного получения конфиденциальной информации.
5. Права.
1. Проверять наличие технических средств обеспечения производственной деятельности в выделенных помещениях, измерять их параметры на соответствие требованиям безопасности;
2. Устанавливать технические средства защиты каналов утечки информации через технические средства обеспечения производственной деятельности;
3. Запрещать использование технических средств, не обеспечивающих требования безопасности.
6. Ответственность.
1. Всю полноту ответственности за инженерно-техническую защиту информации несет руководитель группы.
4. Детективная группа.
1. Общие положения.
1. Детективная группа является самостоятельным структурным подразделением службы безопасности и подчиняется непосредственно начальнику службы;
2. Группа организует работу в тесном взаимодействии с основными структурными подразделениями службы безопасности и предприятия.
2. Задачи.
1. Изучение и выявление предприятий и организаций, потенциально являющихся союзниками и конкурентами;
2. Добывание, сбор и обработка сведений о деятельности потенциальных и реальных конкурентов для выявления возможных злонамеренных действий по добыванию охраняемых сведений;
3. Учет и анализ попыток несанкционированного получения коммерческих секретов конкурентами;
4. Оценка степени реальных конкурентных отношений между сотрудничающими (конкурирующими) организациями;
5. Анализ возможных каналов утечки конфиденциальной информации.
3. Структура.
1. Структура и штатное расписание определяется с учетом объемов и особенностей обстановки.
4. Функции.
1. Изучение торгово-конъюнктурных ситуаций в пространстве деятельности учредителей, партнеров, клиентов и потенциально возможных конкурентов;
2. Ситуационный анализ текущего состояния финансово-торговой деятельности с точки зрения прогнозирования возможных последствий, могущих привести к неправомерным действиям со стороны конкурирующих организаций и предприятий;
3. Выявление платежеспособности юридических и физических лиц, их возможности по своевременному выполнению платежных обязательств;
4. Установление антагонистических конкурентов, выявление их методов ведения конкурентной борьбы и способов достижения своих целей;
5. Определение возможных направлений и характера злоумышленных действий со стороны специальных служб промышленного шпионажа против предприятия, его партнеров и клиентов.
5. Права.
1. Требовать от соответствующих служб и подразделений необходимые для анализа сведения о деятельности партнеров и клиентов;
2. Осуществлять сбор и обработку необходимых сведений для выявления злоумышленных действий со стороны конкурирующих организаций.
6. Ответственность.
1. Вся полнота ответственности за полноту и своевременность оценки степени опасности действий со стороны конкурентов и злоумышленников по отношению к охраняемым сведениям и безопасности руководства и сотрудников лежит на детективной группе [3].

    2.2 Взаимодействие службы безопасности  с персоналом

    Целью взаимодействия службы безопасности с  персоналом является минимизация рисков от ошибок, связанных с человеческим фактором, воровства, мошенничества, кражи  или неправильного использования  средств обработки информации.

    Обязанности по соблюдению требований безопасности следует распределять на стадии подбора персонала, включать в трудовые договоры и проводить их мониторинг в течение всего периода работы сотрудника.

    Следует осуществлять соответствующую проверку кандидатов на работу, особенно это касается должностей, предполагающих доступ к важной информации.

    Проверки  сотрудников, принимаемых в постоянный штат, следует выполнять по мере подачи заявлений о приеме на работу. В них необходимо включать следующее:

1. наличие положительных рекомендаций, в частности в отношении деловых и личных качеств претендента;
2. проверка (на предмет полноты и точности) резюме претендента;
3. подтверждение заявляемого образования и профессиональных квалификаций;
4. независимая проверка подлинности документов, удостоверяющих личность (паспорта или заменяющего его документа).

    Условия трудового договора должны определять ответственность служащего в  отношении информационной безопасности. Там, где необходимо, эта ответственность  должна сохраняться и в течение  определенного срока после увольнения с работы. Необходимо указать меры дисциплинарного воздействия, которые будут применимы в случае нарушения сотрудником требований безопасности.

    Ответственность и права сотрудников, вытекающие из действующего законодательства, например в части законов об авторском праве или законодательства о защите персональных данных, должны быть разъяснены персоналу и включены в условия трудового договора. Также должна быть указана ответственность в отношении категорирования и управления данными организации-работодателя. Всякий раз, при необходимости, в условиях трудового договора следует указывать, что эта ответственность распространяется и на работу вне помещений организации, и внерабочее время [1].

    Пользователей необходимо обучать процедурам безопасности и правильному использованию средств обработки информации, чтобы быть уверенным в осведомленности пользователей об угрозах и проблемах, связанных с информационной безопасностью, и их оснащенности всем необходимым для соблюдения требований политики безопасности организации при выполнении служебных обязанностей.

    Так же от пользователей информационных сервисов необходимо требовать, чтобы  они обращали внимание и сообщали о любых замеченных или предполагаемых недостатках и угрозах в области безопасности в системах или сервисах. Они должны немедленно сообщать об этих причинах для принятия решений своему руководству [1]. 

    3 Организационная модель управления информационной безопасностью. Сертификация

    3.1 Система менеджмента защиты информации

    Основу  организационной модели управления информационной безопасностью составляет подход, который характеризуется  применением системы процессов  взаимосвязанных в рамках модели PDCA в соответствии с рекомендациями стандарта BS ISO/IEC 27001:2005 и практиками по внедрению BS ISO/IEC 17799:2005.

    Эта модель объединяет четыре взаимосвязанных процесса: разработка, внедрение, мониторинг и развитие (приложение № 2). Все четыре перечисленных процесса являются критически важными. Исключение или недостаточная проработанность одного из них может существенным образом повлиять на защищенность информационных ресурсов компании.

    Фазы  PDCA определяют, как установить политику, цели, процессы и процедуры, существенные с точки зрения менеджмента рисков (фаза планирования - Plain), внедрить и использовать (фаза выполнения - Do), оценивать и, там где это возможно, измерять результаты процесса с точки зрения политики (фаза проверки - Check) и выполнять корректирующие и предупреждающие действия (фаза улучшения - Act). В дополнении к этому могут быть указаны иные концепции, которые могут быть полезными при построении системы менеджмента системы безопасности:

1. Определение состояния «Как должно быть»;
2. Определение состояния «Как есть»;
3. План перехода.

    В контексте управления бизнес-рисками  состояние «Как должно быть» определяет желаемое состояние. Оно включает в себя вовлечение менеджмента, организационные структуры, область действия, политики, стандарты, процедуры и многое другое.

    В контексте менеджмента рисков состояние  «Как есть» это некий фотоснимок текущего состояния с безопасностью.

    Сравнение состояний «Как есть» и «Как должно быть» - это есть анализ упущений (GAP - анализ).

    Работы  по разработке системы управления информационной безопасностью (СУИБ) можно разбить  на следующие основные этапы:

1. Определение области деятельности (рамок) проекта;
2. Проведение обследования в рамках области деятельности с целью выявления несоответствий существующих организационных процедур и программно- технических средств защиты информации требованиям стандарта ISO 27001 (проведение GAP-анализа);
3. Разработка методики инвентаризации информационных активов компании (в качестве активов могут выступать: информационные ресурсы, ПО, аппаратное и телекоммуникационное обеспечение, носители информации и т.д.);
4. Проведение обследования с целью идентификации информационных активов;
5. Проведение оценки и анализа рисков информационной безопасности;
6. Разработка политики информационной безопасности организации;
7. Подготовка плана обработки рисков, содержащего перечень защитных мер, направленных на минимизацию рисков;
8. Разработка нормативно-методических документов, формализующих процессы СУИБ;
9. Разработка положения о применимости механизмов контроля;
10. Внедрение системы управления информационной безопасности;
11. Подготовка к сертификации СУИБ компании на соответствие требованиям стандарта ISO 27001.

    3.2 Сертификация

      Получение сертификата на соответствие СУИБ требованиям ISO 27001 позволяет самой компании, а также ее партнерам убедиться в том, что система управления ИБ внедрена в общую систему управления бизнес-процессами компании, что она работает правильно и эффективно. Это особенно важно в том случае, если компания работает с большими объемами ценной информации или если компания обрабатывает или хранит ценную информацию своих клиентов.

    Систему управления ИБ, как правило, целесообразно разрабатывать для всей компании в целом, то есть процедуры системы управления, в большинстве случаев, необходимы для выполнения во всей компании. Однако внедрить систему управления сразу во все бизнес-процессы часто непросто, поэтому проще внедрять систему управления последовательно.

    Следовательно, при подготовке к сертификации требуется  определить область сертификации (описать, в какой конкретно подсистеме компании будет внедрена система  управления). Аудиторы сертификационных органов проверяют выполнение всех процедур системы управления только в рамках выбранной области сертификации.