Защиты информации и организация аналитической работы на предприятии


Организация аналитической работы в области защиты информации на предприятии.


Основные направления аналитической работы. Функции аналитического подразделения.

Анализ состояния защиты информации — это комплексное изучение фактов, событий, процессов, явлений, связанных с проблемами защиты информации, в том числе данных о состоянии работы по выявлению возможных каналов утечки информации, о причинах и обстоятельствах, способствующих утечке и нарушениям режима секретности (конфиденциальности) в ходе повседневной деятельности предприятия.

Основное предназначение аналитической работы — выработка эффективных мер, предложений и рекомендаций руководству предприятия, направленных на недопущение утечки конфиденциальной информации о деятельности предприятия и проводимых работах. Аналитическая работа должна включать элементы прогнозирования возможных действий противника по получению важной защищаемой информации.

Основные направления аналитической работы на предприятии следующие:
анализ объекта защиты;
анализ внутренних и внешних угроз информационной безопасности предприятия;
анализ возможных каналов несанкционированного доступа к информации;
анализ системы комплексной безопасности объектов;
анализ имеющих место нарушений режима конфиденциальности информации;
анализ предпосылок к разглашению информации, а также к утрате носителей конфиденциальной информации.

Функции анализа на предприятии возлагаются на специально создаваемое в его структуре аналитическое подразделение, которое комплектуется квалифицированными специалистами в области защиты информации.

Вместе с тем, данные специалисты должны в полной мере владеть информацией по всем направлениям деятельности предприятия: знать виды, характер и последовательность выполнения производственных работ, взаимодействующие организации, специфику деятельности структурных подразделений предприятия и т.д. Как правило, аналитическое подразделение включается в состав службы безопасности предприятия.

Аналитическое подразделение должно обеспечивать руководство предприятия достоверной и аналитически обработанной информацией, необходимой для принятия эффективных управленческих решений по всем направлениям защиты информации. Основными функциями аналитического подразделения являются:
обеспечение своевременного поступления достоверных и всесторонних сведений по проблемам защиты информации;
учет, обобщение и постоянный анализ материалов о состоянии дел в системе защиты информации предприятия (его филиалов и представительств);
анализ возможных угроз защите информации, моделирование реального сценария возможных действий конкурентов (злоумышленников), затрагивающих интересы предприятия;
обеспечение эффективности работы по анализу имеющейся информации, исключение дублирования при ее сборе, обработке и распространении;
мониторинг ситуации на рынке продукции, товаров и услуг, а также во внешней среде в целях выявления событий и фактов, которые могут иметь значение для деятельности предприятия;
обеспечение безопасности собственных информационных ресурсов, ограничение доступа сотрудников предприятия к аналитической информации;

подготовка выводов и предложений, направленных на повышение эффективности планируемых и принимаемых мер по защите информации, а также уточнение (корректировку) организационно-планирующих документов предприятия и его структурных подразделений;
выработка рекомендаций по внесению изменений и дополнений в методические документы, регламентирующие алгоритм действий сотрудников предприятия по защите информации (стандарты предприятия).

Наличие постоянной аналитической работы, ее характер и результаты определяют необходимость, основы организации, структуру и содержание системы комплексной защиты информации, требования к ее эффективности и направления ее развития и совершенствования. Анализ состояния системы защиты информации существенно влияет на количество, состав и структуру подразделений предприятия, непосредственно решающих эти задачи (служба безопасности предприятия, служба охраны, режимно-секретное подразделение и др.). От эффективности и качества ведения на предприятии аналитической работы в полной мере зависит состояние защищенности информационных ресурсов предприятия, отнесенных к категории охраняемых, а также своевременность и обоснованность принятия мер по исключению утечки конфиденциальной информации и утрат носителей информации. Эффективность аналитической работы и ее результаты служат основой для принятия руководством предприятия управленческих решений по вопросам организации защиты информации. С учетом результатов аналитической работы могут вырабатываться следующие основные меры:

уточнение (доработка) планов работы предприятия по защите информации, включение в них дополнительных мероприятий;
уточнение распределения задач и функций между структурными подразделениями предприятия;
переработка (уточнение) должностных (функциональных) обязанностей сотрудников предприятия, в том числе руководящего звена, совершенствование систем пропускного и внутри-объектового режимов;
ограничение круга лиц, допускаемых к конфиденциальной информации по различным направлениям деятельности предприятия;
пересмотр степени конфиденциальности сведений и их носителей;
усиление системы охраны предприятия и его объектов, применение особых мер защиты информации на отдельных объектах (в служебных помещениях);
принятие решений об ограничении публикации в открытой печати, использования в рекламной и издательской деятельности отдельных материалов (материалов по отдельным темам), доступа командированных лиц, об исключении рассмотрения этих материалов на конференциях, семинарах, встречах и т.д.

Ведение эффективной аналитической работы возможно лишь при наличии необходимой информации. Для ее получения нужна четко сформулированная цель, определяющая конкретные источники информации. Аналитическая работа на предприятии должна вестись последовательно и непрерывно, представлять собой в полной мере целостное исследование.

Основные этапы аналитической работы

В аналитической работе можно выделить следующие основные этапы:

формулирование целей аналитической работы, разработка программы исследований, формулирование предварительных гипотез (результатов аналитической работы);
отбор и анализ источников информации, сбор и обобщение информации;
полноценный анализ имеющейся информации и подготовка выводов.

Основная форма ведения аналитической работы — аналитические исследования.

Проведение аналитических исследований требует четкой организации процесса, оценки имеющихся ресурсов для выполнения исследований и достижения необходимого результата. Итогом исследования должны быть выводы, предложения и рекомендации по совершенствованию системы защиты информации.

На первом этапе аналитического исследования формулируются цели и задачи исследования, разрабатывается программа исследования, которая составляет научную основу сбора, обобщения, обработки и анализа всей полученной информации. Типовая программа исследований включает следующие основные разделы:
цели и задачи аналитического исследования;
предметы и объекты исследования;
сроки (период) проведения аналитического исследования;
методики проведения исследования;
ожидаемые результаты и предполагаемые выводы.

При формулировании целей и задач исследования нужно учитывать, кто является его организатором и непосредственным исполнителем, какие силы и средства могут быть задействованы для его проведения, какие будут использоваться источники информации, способы и методы ее сбора, обработки и анализа, какие существуют возможности для реализации предложений и рекомендаций, которые будут выработаны в ходе исследований.

В зависимости от поставленных целей и задач определяются конкретные методы и технологии исследования, а также процедуры сбора и обработки информации.

Наиболее типичны следующие задачи аналитического исследования:
получение данных о состоянии системы защиты информации на предприятии (его конкретных объектах, в филиалах, представительствах);
выявление возможных каналов утечки информации, подлежащей защите;
определение обстоятельств, причин и факторов, способствующих возникновению каналов утечки и созданию предпосылок для утечки информации;
подготовка для руководства предприятия (филиала, представительства) и его структурных подразделений конкретных рекомендаций по закрытию выявленных каналов утечки.

Под объектом исследования понимается все то, что изучается и анализируется в ходе исследования. Предмет исследования — та сторона объекта, которая непосредственно подлежит изучению в ходе аналитического исследования.

Особое значение на первом этапе аналитической работы имеет формулирование предварительных гипотез (версий). Предварительные гипотезы должны объяснить роль и место выводов аналитических исследований в логической последовательности происходящих событий в сфере защиты охраняемой информации.

Построение предварительных гипотез проводится в следующем порядке. Сначала формируется полный список сведений, которые предполагается исследовать (проанализировать). Вошедшие в список сведения систематизируются и располагаются по степени важности.

Далее из всего объема информации выделяется группа наиболее значимых сведений, роль которых особенно очевидна в ситуации, подлежащей анализу и оценке. Выбранные сведения классифицируются по актуальности, способу получения и степени достоверности источника. Наиболее актуальные сведения анализируются в первую очередь.

Затем проводится выбор предварительных гипотез, объясняющих проявления тех или иных событий (появление тех или иных сведений). Причем в отношении одного события осуществляется проверка нескольких гипотез (версий). При последовательной проверке гипотез особое внимание уделяется наиболее реальным. Эти гипотезы фиксируются. Наименее реальные гипотезы отклоняются.

Таким образом, последовательно выбираются и формулируются наиболее вероятные предположения, объясняющие появление тех или иных конкретных событий (возникновение сведений). Возможные противоречия в полученных выводах о предполагаемых версиях происходящих событий устраняются путем всесторонней последовательной проверки реальности гипотез.

Результатом работы по формулированию предварительных гипотез является выбор версии, которая наиболее точно по сравнению с другими версиями объясняет причину возникновения конкретной ситуации, связанной с появлением возможного канала утечки конфиденциальной информации, и характеризует состояние системы защиты информации, в том числе — действия соответствующих должностных лиц, качество выполнения мероприятий и т.д.

На втором этапе проводится отбор и анализ источников информации, сбор и обобщение данных в целях выявления канала несанкционированного доступа к сведениям конфиденциального характера, исключения возможности возникновения такого канала.

Для этого осуществляется постоянный контроль объектов защиты (информационных ресурсов), а также степени защищенности обрабатываемой (циркулирующей) в них информации, проводится анализ данных, получаемых из различных источников.

Для решения конкретной задачи аналитического исследования в рамках второго этапа из всех имеющихся в распоряжении аналитического подразделения источников информации отбираются те, из которых поступает информация, наиболее близкая к исследуемым проблемам, и в то же время достаточно достоверная.

Аналитическое исследование источников информации предусматривает проведение следующих основных мероприятий:
формирование исчерпывающего перечня источников конфиденциальной информации на предприятии;
формирование и своевременное уточнение перечня и состава конфиденциальной информации, реально циркулирующей (обрабатываемой) на объектах предприятия, с указанием конкретных носителей, на которых она хранится;
организация и ведение учета осведомленности сотрудников предприятия в конфиденциальной информации, накопление данных об их ознакомлении с конкретными сведениями конфиденциального характера с указанием носителей этих сведений;
изучение и оценка соответствия степени конфиденциальности, присвоенной информации, реальной ценности этой информации;
изучение внутренних и внешних угроз каждому имеющемуся на предприятии источнику конфиденциальной информации;
выявление предприятий, заинтересованных в получении конфиденциальной информации (фирм-конкурентов), а также отдельных лиц-злоумышленников и их систематизация (классификация);

анализ полноты и качества мер по защите конфиденциальной информации, принимаемых (принятых) в конкретных ситуациях. Учет и анализ попыток представителей фирм-конкурентов, а также других злоумышленников получить конфиденциальную информацию;
учет и анализ контактов сотрудников предприятия с представителями фирм-конкурентов вне зависимости от того, касались ли они вопросов конфиденциального характера или нет.

В ходе изучения и исследования источников информации производится их оценка с точки зрения надежности и достоверности получаемой из них информации. Оценка источников информации осуществляется методом ранжирования (классификации) самих источников, поступающей из них информации и способов ее получения. В большинстве случаев может использоваться система экспертной оценки (непосредственно аналитиком) надежности и достоверности полученных данных. Уровень подготовки и практические навыки позволяют сотруднику аналитического подразделения наиболее точно оценить собственно информацию, ее источник и способ ее получения.


При проведении оценки указанных элементов, как правило, используются следующие критерии:
Оценка источника:
надежный источник;
обычно надежный источник;
довольно надежный источник;
не всегда надежный источник;
ненадежный источник;
источник неустановленной надежности.
Оценка полученной информации:
информация, подтвержденная другими фактами;
информация, подтвержденная другими источниками;

информация, с высокой степенью вероятности соответствующая действительности;
информация, возможно соответствующая действительности;
сомнительная информация;
неправдоподобная информация;
информация, установить (подтвердить) достоверность которой не представляется возможным.

3. Оценка способа получения информации источником:
информация получена источником самостоятельно;
информация получена источником из другого постоянного источника информации (например, открытого источника);
информация получена источником из другого «разового» источника (например, в ходе переговоров, неформального общения).

В ходе оценки достоверности информации и ее источника необходимо учитывать возможность преднамеренной дезинформации, а также получения непреднамеренно искаженной информации. В обоих случаях необходимо проведение дополнительной проверки и более подробного всестороннего анализа полученной информации для принятия решения о ее использовании в ходе аналитических исследований.

С учетом результатов оценки полученной информации, а также источников и способов ее получения осуществляются сбор и обобщение (систематизация) необходимых для проведения полноценного анализа сведений.

В ходе третьего этапа аналитической работы проводится полноценный анализ полученной информации и, на основе его результатов, — всесторонний анализ состояния системы защиты информации, вырабатываются эффективные меры по ее совершенствованию. На этом этапе оформляются результаты аналитических исследований, готовятся выводы, рекомендации и предложения в области защиты охраняемой информации.

Анализ состояния системы защиты информации включает изучение возможных каналов утечки информации, оценку эффективности мер по их закрытию, оценку действий персонала предприятия по решению задач в области защиты информации, определение основных направлений деятельности по защите информации.

Содержание и основные виды аналитических отчетов

Основной формой представления результатов аналитических исследований является аналитический отчет. Отчеты могут оформляться в письменном виде, также они могут быть представлены в устной форме, сопровождаться графиками, диаграммами, рисунками, таблицами, поясняющими или отражающими результаты проведенной работы.

Основные разделы аналитического отчета следующие:
цели и задачи аналитического исследования (цели и задачи аналитического исследования, пути решения поставленных задач, вопросы, подлежащие анализу и оценке; предполагаемые результаты исследования);
источники информации, степень достоверности полученной информации (оценки полученной информации, источников и способов ее получения, результаты анализа степени достоверности полученной с использованием этих источников аналитической информации);
обобщение полученной информации (алгоритм сбора и обобщения необходимой для проведения полноценного анализа информации — из всего объема полученной и обработанной информации выделяются наиболее значимые факты);
основные и альтернативные версии или гипотезы (мотивированное деление версий, объясняющих или характеризующих исследуемые события и факты, на основную и дополнительные или альтернативные);

недостающая информация (дополнительная информация, необходимая для подтверждения основной версии, ее источники и способы ее получения);
заключение, выводы (результаты анализа и оценки поставленных вопросов, выводы о степени важности полученной и обработанной информации, значение этой информации для принятия конкретных решений в области защиты конфиденциальной информации, взаимосвязь результатов данного аналитического исследования с другими направлениями аналитической работы в сфере защиты информации, возможные угрозы защищаемой информации, а также возможные последствия воздействия негативных факторов);
предложения и рекомендации по совершенствованию работы в области зашиты информации (конкретные предложения и рекомендации руководству предприятия и руководителям структурных подразделений по совершенствованию работы в области защиты конфиденциальной информации; выработанные на основе проведенного анализа полученной информации, а также различных событий и фактов конкретные меры, принятие которых необходимо для закрытия возможных каналов утечки информации и предотвращения потенциальных угроз защищаемой информации).

В отдельных случаях, на основе результатов проведения более глубокого анализа состояния системы защиты информации вырабатываются алгоритм и способы действий персонала предприятия в конкретных ситуациях.

В зависимости от предназначения используются следующие основные виды аналитических отчетов:
оперативный (тактический) отчет;

перспективный (стратегический) отчет;
периодический отчет.

Оперативные (тактические) отчеты отражают результаты аналитических исследований, проводимых для подготовки и принятия какого-либо оперативного (экстренного) решения по вопросу кратковременного (срочного) характера. В ходе проведения таких исследований анализу и оценке подвергается информация, как правило, небольшого объема.

Перспективные (стратегические) отчеты содержат информацию, более полную по содержанию. Анализ этой информации не ограничен по сроку (времени) его проведения. В такие отчеты, как правило, включается информация, содержащая более полный анализ предпосылок конкретных ситуаций, фактов, событий. В отчетах излагаются прогнозы и перспективы развития этих ситуаций. Отчеты этого вида соответствуют постоянным направлениям аналитических исследований.

Периодические отчеты предназначены для анализа состояния системы защиты информации (отдельных направлений защиты информации) в соответствии с разработанным и утвержденным руководством предприятия графиком. Эти отчеты не зависят от происходящих событий (возникновения различных ситуаций), связанных с защитой информации. Такие отчеты готовятся по проблемам (направлениям), являющимся объектами постоянного внимания со стороны службы безопасности предприятия (его аналитического подразделения).

К составлению отчетов, независимо от формы их представления, предъявляются общие требования, такие, как наличие глубокого анализа событий (фактов, полученной информации), простота, четкость и грамотность изложения материала, логичность приводимых рассуждений и выводов, соответствие отчетов установленной форме.

Одно из наиболее важных требований, предъявляемых к отчетам, заключается в том, что их содержание и уровень подготовки аналитического материала должны отвечать запросам конкретных потребителей аналитической информации — руководителей структурных подразделений или отдельных сотрудников предприятия.

Классификация методов анализа информации.

Полнота и качество проведения аналитических исследований, достоверность полученных результатов и эффективность выработанных предложений и рекомендаций в полной мере зависят от тех методов анализа информации, которые были выбраны и использовались сотрудниками аналитического подразделения непосредственно в ходе проведения исследований.

Применяемые в ходе аналитических исследований методы анализа информации делятся на три группы:
общенаучные (качественные) методы;
количественные методы;
частнонаучные методы.

Основные методы анализа, относящиеся к первой группе, включают метод выдвижения гипотез, метод интуиции, метод наблюдения, метод сравнения, метод эксперимента.

Из количественных методов наиболее распространен метод статистических исследований.

К третьей группе относятся методы письменного и устного опроса, метод индивидуальной беседы и метод экспертной оценки. Метод выдвижения гипотез состоит в процедуре отделения известного от неизвестного и вычленения в неизвестном отдельных, наиболее важных элементов и фактов (событий).

Метод интуиции заключается в использовании аналитиком своей способности к непосредственному постижению истины (достижению требуемого результата) без предварительного логического рассуждения.

Во многом этот метод основывается наличном опыте аналитика.

Метод наблюдения заключается в непосредственном исследовании (обследовании) конкретного объекта (источника информации, события, действия, факта), в самостоятельном описании аналитиком каких-либо фактов (событий, процессов), а также их логических связей в течение определенного времени.

Цель метода сравнения состоит в более глубоком изучении процессов (событий), происходящих на предприятии и имеющих отношение к вопросам защиты охраняемой информации. Сравниваются различные факторы, обусловливающие причины и обстоятельства, приводящие к утечке конфиденциальной информации или к возникновению предпосылок к ее утечке. При использовании метода сравнения в обязательном порядке соблюдаются следующие основные условия: сравниваемые объекты (действия, явления, события) должны быть сопоставимы по своим качественным особенностям; сравнение должно определить не только элементы сходства, но и элементы различия между исследуемыми объектами.

Метод эксперимента используется для проверки результатов деятельности по конкретному направлению защиты информации или для поиска новых решений, совершенствования системы ее защиты.

Роль количественных методов анализа заключается в информационном, статистическом обеспечении качественных методов. Наиболее характерен метод статистических исследований, который заключается в проведении количественного анализа отдельных сторон исследуемого явления (факта, события).

В ходе этого анализа накапливаются цифровые данные о состоянии и динамике нарушений режима конфиденциальности (секретности) в ходе проводимых работ, об эффективности решения службой безопасности (режимно-секретным подразделением) задач по их недопущению, о тенденциях развития ситуации в области информационной безопасности и т.д.

Методы письменного и устного опроса заключаются в получении путем анкетирования (или иным способом) необходимой информации от сотрудников предприятия, руководителей подразделений, а также лиц, допускающих нарушения установленного режима секретности (конфиденциальности информации). При этом в анкете указываются несколько возможных вариантов ответов на каждый поставленный вопрос.

Метод индивидуальной беседы отличает от метода письменного и устного опроса необходимость личного общения с сотрудником предприятия. Использование этого метода позволяет в динамично развивающейся беседе получить конкретную информацию в зависимости от целей аналитического исследования.

Метод экспертной оценки включает учет и анализ различных мнений по определенному кругу вопросов, излагаемых специалистами в той или иной области деятельности предприятия, связанной с конфиденциальной информацией.

Выбор конкретных методов анализа при проведении аналитических исследований в области защиты конфиденциальной информации зависит от целей и задач исследований, а также от специфики деятельности предприятия, состава и структуры службы безопасности и ее аналитического подразделения.

http://all-ib.ru

Обновлено: 11.03.2015