Файл: Теоретические аспекты определения объектов защиты информации.pdf

Название государственной структуры	Тип обрабатываемых данных	Роль
Федеральная налоговая служба	Персональные данные налогоплательщиков, данные об их доходах, данные о финансовом состоянии юридических лиц	Оператор
ПФР	Персональные данные застрахованных лиц, получателей пенсий, пособий	Оператор
МВД	Персональные данные граждан, данные о юридических лицах, право получения данных из базы госструктур	Оператор, контроль состояния охраны объектов
Прокуратура	Персональные данные граждан, данные о юридических лицах, право получения данных из базы госструктур, банков	Оператор, контроль выполнения законов
Ростехнадзор	-	Контроль способа обработки данных, соблюдения ГОСТов
ФСТЭК	-	Контроль систем документооборота
ФСБ	Доступ к гостайне, Персональные данные граждан, данные о юридических лицах, право получения данных из базы госструктур, банков	Оператор, контроль за исполнением требований законодательства и стандартов в области информационной безопасности (хранения информации, способов ее передачи)
Федеральное казначейство	Работа с проведением платежей бюджетными организациями	Оператор

Таким образом, в силу того, что в настоящее время в большинстве бизнес-структуры и государственных организаций в автоматизированных системах производится обработка больших массивов конфиденциальных данных, необходимо определить требования к персоналу, работающему с подобного рода сведениями.

2. Общие принципы отбора персонала для работы с конфиденциальной информацией

2.1. Общие подходы к работе с персоналом, работающим с конфиденциальной информацией

Кадровое обеспечение технологии работы с конфиденциальными сведениями предполагает соблюдение следующих принципов:

- наличие необходимых компетенций;

- создание организационной структуры для обеспечения конфиденциальности информации;

- проверка сотрудников службами безопасности.

Сотрудники, работающие с конфиденциальными сведениями, как правило, относятся к одной из групп:

- администраторы;

- операторы.

Права администрирования информационных систем для работы с конфиденциальной информацией предполагают возможность проведения макроопераций с базами данных, что, при отсутствии необходимых компетенций, может привести к неработоспособности системы, а при наличии соответствующего умысла – к утечкам информации.

Основными видами компетенций сотрудников с правами администрирования информационных систем являются:

- компетенции в области информационных технологий по профилям администраторов систем, администраторов СУБД, что предполагает навыки управления современными СУБД, сетевыми операционными системами;

- компетенции в области обеспечения защиты информации.

Специалисты, претендующие на указанные позиции, должны иметь либо высшее образование по направлению «Информационные технологии», «Информационная безопасность», либо иметь набор необходимых сертификатов о прохождении повышения квалификации.

Сотрудники, работающие в информационных системах с правами операторов, должны иметь необходимые навыки грамотного пользователя информационных систем, быть ознакомлены с законодательством РФ в области информационной безопасности, с регламентами в области защиты информации, установленными на предприятиях.

Так, например, пользователи должны иметь представления о:

- порядке обращения с парольной документацией;

- порядке обращения с внешними носителями информации и порядком их использования в информационных системах предприятий;

- регламенте использования программного обеспечения;

- видах конфиденциальной информации, обработка которой производится в рамках служебных обязанностей;

- регламенте использования антивирусных систем;

- порядке работы с электронными ключами

Проверка указанных компетенций может производиться как на этапе отбора персонала, так и в рамках прохождения аттестаций сотрудников.

В рамках отбора персонала на должности, предполагающие необходимость работы с конфиденциальными сведениями, также необходима проверка сотрудника службами безопасности, в рамках которых проверке подлежат факты:

- характер деятельности на предыдущих местах работы;

- причины увольнения с предыдущих мест работы, возможность их связи с работой с конфиденциальными данными;

- проверка на возможность инсайдерской деятельности и выявления возможности осуществления промышленного шпионажа.

Также на этапе приема сотрудников на указанные позиции необходимо провести анализ мотивации сотрудника на работу в организации, в случае отсутствия необходимых мотивов возможны нарушения с порядком обращения конфиденциальных данных, анализ психологического портрета сотрудника на предмет склонности к разглашению данных, также определить степень потенциальной конфликтности сотрудника (сотрудники, провоцирующие конфликты, снижают общий уровень защиты информации).

На рисунке 1 приведена диаграмма принципов приема сотрудников на должности, предполагающие работу с конфиденциальной информацией.

Рисунок - Диаграмма принципов приема сотрудников на должности, предполагающие работу с конфиденциальной информацией

При поступлении на место работы, предполагающее обработку конфиденциальных данных, необходимо доведение под роспись документов:

- Обязательство о неразглашении конфиденциальной информации;

- Положение о работе со сведениями конфиденциального характера.

Также до сотрудника должна быть доведена информация об ответственности за нарушения регламентов защиты информации.

Далее, вновь принимаемым сотрудникам, работающим с конфиденциальными сведениями, необходимо устанавливать испытательный срок, в течение которого анализируется деятельность сотрудника по исполнению требований защиты информации, проводится экспертиза использования информационных ресурсов.

2.2.Проблема контроля использования ресурсов информационных систем в неслужебных целях

Далее определим методику контроля деятельности вновь принятых сотрудников на предмет экспертизы использования информационных ресурсов.

В настоящее время все большая часть технологических процессов автоматизирована с использованием программных продуктов различной сложности. В связи с этим остро встает проблема использования информационных ресурсов компании в неслужебных целях. Можно определить следующие виды нецелевого использования автоматизированных систем:

- деятельность инсайдеров (в данном случае специалисты компании работают в интересах конкурирующих компаний, передавая информацию, содержащую элементы коммерческой тайны, данные экономического анализа, клиентские картотеки, информацию о технологиях, и другую коммерчески значимую информацию). Негативные последствия активности инсайдеров могут быть очень серьезными – от потери части рынков, проигрышей в тендерах, до потери технологий, материалов, над которыми специалисты компании работали на протяжении многих лет. Кроме того, утечки персональных данных из информационной системы предприятия могут повлечь ответственность организации согласно действующему законодательству;

- использование ресурсов Интернета в неслужебных целях (наиболее распространенный случай). Негативные последствия могут быть не столь серьезными, как инсайдерская активность, но при бесконтрольном использовании ресурсов Интернета вероятно заражение ресурсов информационной системы компании вредоносным программным обеспечением, устранение последствий активности которого может быть связано с большими материальными затратами. Кроме того, в данном случае можно говорить о неэффективной нагрузке на специалистов и необходимости перераспределения должностных обязанностей;

- несанкционированное использование аппаратного обеспечения в личных целях (например, распечатка текстов на принтерах или создание ксерокопий в личных целях). Если данные действия допускаются систематически, то ущерб, наносимый организации, может быть весьма ощутимым;

- установка или использование постороннего программного обеспечения, не связанного со служебной деятельностью и хранение посторонних файлов;

- несанкционированная выдача конфиденциальной информации (сообщение данных, содержащихся в информационных базах без официального запроса и без разрешения руководства);

- несанкционированное использование систем электронного документооборота, при котором документы, заверенные ЭЦП руководителя, поступают в обработку в организации – адресате, но при этом могут быть отправлены ошибочно или без резолюции руководителя. В данной случае необходимо максимально регламентировать порядок использования ЭЦП;

- несанкционированное копирование данных (от копий всей базы данных до отдельных документов);

- деятельность злоумышленников, связанная с использованием ресурсов информационной системы (в данном случае специалист в своих интересах производит действия, связанные с получением личной выгоды, например, увод денежных средств).

Таким образом, любое несанкционированное действие пользователя информационной системы может быть отнесено к одной из вышеуказанных групп и в той или иной мере наносит ущерб интересам компании и при проектировании систем информационной безопасности необходимо предусматривать создание системы защиты от несанкционированных действий пользователей.

При этом каждый из пользователей должен осознавать серьезность возможных последствий своих действий, в организации должна быть создана соответствующая культура информационной безопасности. Ответственные за обеспечение системы защиты информации не должны ограничиваться формальным подходом к выполнению своих обязанностей, определяя требования к построению модели безопасности согласно соответствующей модели угроз.

Современное программное обеспечение позволяет осуществлять контроль и разграничение доступа к информационным ресурсам. Возможны следующие режимы использования ПО для методики расследования инцидентов, связанных с использованием ресурсов информационной системы в неслужебных целях:

- протоколирование действий пользователей;

- ограничения на запуск программного обеспечения;

- контроль учетных записей на доступ к рабочим станциям и серверам;

- мониторинг активности пользователей;

- совершенствование систем разграничения доступа с использованием серверных операционных систем;

- ограничение использования Интернет-ресурсов и мониторинг их использования;

- запрет на установку программ, использование внешних носителей информации.

Реализация вышеуказанных целей возможна при использовании следующих групп программного обеспечения:

- корпоративные версии антивирусного программного обеспечения;

- специализированные системы комплексной защиты информации;

- прокси-серверы для ограничения использования Интернет-ресурсов.

Проведем обзор функционала каждой из указанных групп программного обеспечения.

Примером использования корпоративной системы антивирусной защиты могут быть системы Kaspersky Security Center, DrWeb.

В связи с увеличившимся в последние годы количеством вредоносных программ в информационных системах компаний необходимо принятие мер как организационного, так и технического характера. Внутренними нормативными документами запрещается использование неучтенных носителей информации. Также определяется характер учета, хранения и использования учтенных носителей информации. На рабочих станциях, где технологически не предполагается копирование данных на внешние носители, производится отключение USB-портов, FDD, CD/DVD-приводов.

Смотрите также файлы

Проектирование реализации операций бизнес-процесса. Управление портфелем продукции.pdf

Понятие договора франчайзинга (коммерческой концессии) и его особенности в предпринимательской сфере.pdf

Финансовая политика и ее реализация в РФ.pdf

Разработка сайта стоматологической клиники (Наполнение сайта контентом).pdf

Виды юридических лиц ( Общая характеристика юридических лиц ).pdf

Файл: Теоретические аспекты определения объектов защиты информации.pdf

2. Общие принципы отбора персонала для работы с конфиденциальной информацией

2.1. Общие подходы к работе с персоналом, работающим с конфиденциальной информацией

2.2.Проблема контроля использования ресурсов информационных систем в неслужебных целях

Смотрите также файлы

Информация

Списки файлов

Дополнительно