9m9BRsfo3u7q3XKEAOcEMhJJugD5WB7Z71Hf34A6

1. Цели, задачи, методы, субъекты обеспечения ИБ

2. Цели ИБ

В соответствии со ст. 16 ФЗ от 27.07.2006 N 149-ФЗ "Об
информации, информационных технологиях и о защите
информации", можно сформулировать следующие цели ИБ:
обеспечение защиты информации от неправомерного
доступа, уничтожения, модифицирования, блокирования,
копирования, предоставления, распространения, а также от
иных неправомерных действий в отношении такой информации
соблюдение конфиденциальности информации
ограниченного доступа
Реализация права на доступ к информации

3. Задачи ИБ

защита от вмешательства в процесс функционирования организаций посторонних лиц
защита от несанкционированных действий с информационными ресурсами посторонних
лиц и сотрудников, не имеющих соответствующих полномочий
обеспечение полноты, достоверности и оперативности информационной поддержки
принятия управленческих решений руководством
обеспечение физической сохранности технических средств и программного обеспечения
и защита их от действия техногенных и стихийных источников угроз
регистрация событий, влияющих на безопасность информации, обеспечения полной
подконтрольности и подотчетности выполнения всех операций
своевременное выявление, оценка и прогнозирование источников угроз безопасности
информации, причин и условий, способствующих нанесению ущерба интересам
субъектов, нарушению нормального функционирования и развития организаций
анализ рисков реализации угроз безопасности информации и оценка возможного
ущерба, предотвращение неприемлемых последствий нарушения безопасности
информации, создание условий для минимизации и локализации наносимого ущерба
обеспечение возможности восстановления актуального состояния при нарушении
безопасности информации и ликвидации последствий этих нарушений
создание и формирование целенаправленной политики безопасности информации

4. Методы ИБ

Метод - совокупность приемов и операций познания и практической
деятельности; способ достижения определенных результатов в
познании и практике.
Правовые - разработка нормативных правовых актов,
регламентирующих отношения в информационной сфере и
нормативных методических документов по вопросам обеспечения
информационной безопасности
Организационные - меры, мероприятия и действия должностных лиц и
персонала по обеспечению требуемого уровня защиты информации
Технические – разработка, эксплуатация и усовершенствование уже
имеющихся средств защиты информации
Экономические - составление программ по обеспечению
информационной безопасности, определение источников их
финансового обеспечения и разработка порядка финансирования

5. Субъекты ИБ

Субъект информационной безопасности — это активный участник процессов в
деятельности обеспечения информационной безопасности, воздействующий на
объект информационной безопасности независимо от характера этого
воздействия: наносящего ущерб, разрушение или противодействующего этому.
Внешние
Противодействующие
обеспечению ИБ
Способствующие
обеспечению ИБ
Внутренние
Противодействующие
обеспечению ИБ
Способствующие
обеспечению ИБ

6. Внешние субъекты ИБ

Внешние
субъекты,
способствующие
обеспечению
информационной
безопасности, - органы законодательной, исполнительной и судебной власти
федерального уровня, исполнительной и судебной власти субъектов Федерации,
органов местного управления, правоохранительные органы, функциональные и
отраслевые министерства и ведомства, специально создаваемые органы и
организации, координирующие и контролирующие информационные вопросы,
банки и иные хозяйствующие субъекты, граждане.
К внешним субъектам, противодействующим обеспечению информационной
безопасности, относятся конкуренты, теневые экономические структуры и
элементы криминальных структур.

7. Внешние субъекты и их функции

Палаты Федерального Собрания:
осуществляют законодательное регулирование отношений в сфере защиты
информации;
рассматривают статьи федерального бюджета в части средств, направляемых
на реализацию государственных программ в этой области;
определяют полномочия должностных лиц в аппаратах палат Федерального
Собрания по обеспечению защиты государственной тайны в палатах
Федерального Собрания.

8. Внешние субъекты и их функции

Президент Российской Федерации:
утверждает государственные программы в области защиты информации;
утверждает по представлению Правительства Российской Федерации состав,
структуру межведомственной комиссии по защите государственной тайны и
положение о ней;
утверждает по представлению Правительства Российской Федерации Перечень
должностных лиц органов государственной власти, наделяемых полномочиями по
отнесению сведений к государственной тайне, а также Перечень сведений,
отнесенных к государственной тайне;
заключает международные договоры России о совместном использовании и
защите сведений, составляющих государственную тайну;
определяет полномочия должностных лиц по обеспечению защиты информации в
своей Администрации;
в пределах своих полномочий решает иные вопросы, возникающие в связи с
отнесением сведений к тому или иному виду тайны, их засекречиванием или
рассекречиванием и их защитой.

9. Внешние субъекты и их функции

Правительство Российской Федерации:
организует исполнение Законов и международных соглашений в области защиты информации;
представляет на утверждение Президенту состав и структуру межведомственной комиссии по защите
государственной тайны, а также положение о ней;
представляет на утверждение Президенту Перечень должностных лиц органов государственной власти,
наделяемых полномочиями по отнесению сведений к тому или иному виду тайны;
организует разработку и выполнение государственных программ в области защиты информации;
определяет полномочия должностных лиц по обеспечению защиты информации в аппарате Правительства;
устанавливает размеры и порядок предоставления льгот гражданам, допущенным к государственной тайне на
постоянной основе, и сотрудникам структурных подразделений по защите государственной тайны;
устанавливает порядок определения размеров ущерба, наступившего в результате несанкционированного
распространения сведений, составляющих государственную тайну, а также ущерба, наносимого собственнику
информации в результате ее засекречивания;
заключает межправительственные соглашения, принимает меры по выполнению международных договоров
России о совместном использовании и защите сведений, составляющих государственную тайну, принимает
решения о возможности передачи их носителей другим государствам;
в пределах своих полномочий решает иные вопросы, возникающие в связи с отнесением сведений к тому или
иному виду тайны, их засекречиванием или рассекречиванием и их защитой.

10. Внешние субъекты и их функции

Органы государственной власти Российской Федерации, органы государственной
власти субъектов Российской Федерации и органы местного самоуправления во
взаимодействии с органами защиты государственной тайны, расположенными в
пределах соответствующих территорий:
обеспечивают защиту переданных им другими органами государственной власти,
предприятиями,
учреждениями
и
организациями
охраняемой
законом
информации, а также сведений, засекречиваемых ими;
обеспечивают защиту государственной тайны на подведомственных им
предприятиях, в учреждениях и организациях в соответствии с требованиями
законодательства Российской Федерации;
обеспечивают в пределах своей компетенции проведение проверочных
мероприятий в отношении граждан, допускаемых к тайне;
реализуют
предусмотренные
законодательством
меры
по
ограничению
конституционных прав граждан и предоставлению льгот лицам, имеющим либо
имевшим доступ к сведениям, составляющим государственную тайну;
вносят в полномочные органы государственной власти предложения по
совершенствованию системы защиты информации.

11. Внешние субъекты и их функции

Органы судебной власти:
рассматривают уголовные и гражданские дела о нарушениях законодательства
в области защиты информации;
обеспечивают судебную защиту граждан, органов государственной власти,
предприятий, учреждений и организаций в связи с их деятельностью по защите
охраняемой законом информации;
обеспечивают в ходе рассмотрения указанных дел защиту отдельных видов
тайны;
определяют полномочия должностных лиц по обеспечению защиты охраняемой
законом информации в органах судебной власти.

12. Органы защиты информации

Межведомственная комиссия по защите государственной тайны –
коллегиальный орган, координирующий работу по защите информации в
Российской Федерации.
Органы
федеральной
исполнительной
власти:
Федеральная
служба
безопасности, Министерство обороны, Министерство внутренних дел; Служба
внешней разведки, Федеральная служба охраны, Федеральная служба по
техническому
и
экспортному
контролю
(ФСТЭК
России,
бывшая
Гостехкомиссия при Президенте РФ).
Органы государственной власти, предприятия, учреждения, организации и их
структурные подразделения по защите охраняемой законом информации.

13. ФСТЭК

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – Федеральный орган
исполнительной власти, осуществляющий реализацию государственной политики, организацию
межведомственной координации и взаимодействия, специальные и контрольные функции в области
государственной безопасности по вопросам:
обеспечения безопасности информации в системах информационной и телекоммуникационной
инфраструктуры, оказывающих существенное влияние на безопасность государства в
информационной сфере;
противодействия иностранным техническим разведкам на территории Российской Федерации;
обеспечения защиты (некриптографическими методами) информации, содержащей сведения,
составляющие государственную тайну, иной информации с ограниченным доступом,
предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней,
специальных воздействий на информацию (носители информации) в целях ее добывания,
уничтожения, искажения, и блокирования доступа к ней на территории Российской Федерации;
защиты
информации
при
разработке,
производстве,
эксплуатации
и
утилизации
неинформационных излучающих комплексов, систем и устройств;
осуществления экспортного контроля.

14. ФСТЭК

федеральный орган исполнительной власти, уполномоченный в области противодействия
техническим разведкам и технической защиты информации, а также специально
уполномоченным органом в области экспортного контроля.
орган защиты государственной тайны, наделенным полномочиями по распоряжению
сведениями, составляющими государственную тайну.
организует деятельность государственной системы противодействия техническим
разведкам и технической защиты информации и руководит ею.
Руководство деятельностью ФСТЭК России осуществляет Президент Российской
Федерации. ФСТЭК России подведомственна Минобороны России. ФСТЭК России и ее
территориальные органы входят в состав государственных органов обеспечения
безопасности.
Деятельность ФСТЭК России обеспечивают Государственный научно-исследовательский
испытательный институт проблем технической защиты информации ФСТЭК России, а также
другие подведомственные ФСТЭК России организации.
Решения ФСТЭК России являются обязательными для исполнения всеми органами
государственной
власти
и
местного
самоуправления,
государственными
и
негосударственными предприятиями, учреждениями, организациями, должностными
лицами и гражданами.

15. Внутренние субъекты ИБ

К внутренним субъектам, способствующим обеспечению информационной безопасности, относятся
сотрудники и структурные подразделения (в том числе и специальные), непосредственно
осуществляющие деятельность по защите информационной и экономической безопасности
хозяйствующего субъекта на основании предоставленных им исполнительным органом предприятия
полномочий принимать решения о целях, задачах, средствах и методах обеспечения
информационной и экономической безопасности и осуществления их:
служба экономической безопасности (или безопасности) и ее сотрудники;
сотрудники специализированных организаций, оказывающих услуги по договору;
финансовая служба в целом и ее сотрудники;
экономическая служба в целом и ее сотрудники;
юридическая служба в целом и ее сотрудники;
кадровая служба в целом и ее сотрудники;
бухгалтерская служба в целом и ее сотрудники;
служба автоматизации производственных процессов в целом и ее сотрудники;
архивная служба и ее сотрудники;
служба внутреннего аудита в целом и ее сотрудники и т.д.

16. Внутренние субъекты ИБ

К внутренним субъектам, противодействующим обеспечению информационной и
экономической безопасности хозяйствующего субъекта, относятся сотрудники, не
удовлетворенные социально-экономической политикой работодателя.
Сотрудник хозяйствующего субъекта является ключевым звеном всей совокупности субъектов
информационной безопасности, так как он, с одной стороны, выполняет функции по
обеспечению экономической безопасности организации в общем и информационной
безопасности в частности, а с другой стороны, может стать источником любой угрозы
хозяйствующему субъекту, кроме техногенных угроз, природных катаклизмов, и
противодействовать системе экономической безопасности.
Все субъекты угроз информационной безопасности с целью разработки эффективных
мероприятий защиты классифицируются в соответствии со следующими критериями:
уровень знания автоматизированных систем обработки данных; применяемые методы;
время действия; место действия.

17. Субъекты угроз

По уровням знания автоматизированной системы обработки данных субъекты
угроз делятся на четыре группы:
обладают знаниями функциональных особенностей автоматизированной
системы обработки данных, умеют формировать запросы в нестандартных
массивах данных и потоков и пользоваться штатными средствами;
обладают высоким уровнем знаний и опытом работы с техническими
средствами системы и ее обслуживания;
обладают необходимым уровнем знаний в области программирования и
вычислительных
технологий,
проектирования
и
эксплуатации
автоматизированных систем обработки данных;
знают структуру, функции и механизмы действия средств защиты, их слабые и
сильные стороны.

18. Субъекты угроз

По применяемым методам субъекты угроз делятся на четыре группы лиц,
использующих:
только агентурные методы получения информации;
пассивные методы и способы получения информации (технические средства
перехвата без модификации компонентов системы);
только штатные средства и недостатки системы защиты;
активные методы и способы воздействия на систему с целью получения или
изменения информации (модификация и подключение дополнительных
технических устройств).

19. Субъекты угроз

По времени действия субъекты можно представить тремя группами лиц,
действующих:
во время функционирования автоматизированной системы обработки данных;
во время, когда система не функционирует;
в любое время — как рабочее, так и нерабочее.

20. Субъекты угроз

По месту действия субъекты угроз делятся на шесть групп:
не имеющие доступа в организацию;
не имеющие доступа в здание;
не имеющие доступа к техническим средствам автоматизированной системы
обработки данных;
имеющие доступ с рабочих мест конечных пользователей;
имеющие доступ в базы данных, архивы;
имеющие
доступ в зону управления средствами обеспечения безопасности
автоматизированной системы обработки данных.

21. Внутренние субъекты на страже ИБ

служба экономической безопасности (или безопасности) и ее сотрудники;
финансовая служба в целом и ее сотрудники;
экономическая служба в целом и ее сотрудники;
юридическая служба в целом и ее сотрудники;
кадровая служба в целом и ее сотрудники;
бухгалтерская служба в целом и ее сотрудники;
служба автоматизации производственных процессов в целом и ее сотрудники;
архивная служба и ее сотрудники;
служба внутреннего аудита в целом и ее сотрудники и т.д.

22. Служба экономической безопасности

анализ возможных противоправных и незаконных действий по отношению к предприятию со стороны внешних
субъектов;
установление фактов недобросовестной конкуренции, совершенных другими компаниями, а также
неправомерного использования интеллектуальной собственности предприятия, в том числе его товарного знака;
выявление и расследование фактов нарушения режима охраны коммерческой тайны компании;
сбор информации о контрагентах предприятия и выявление среди них ненадежных партнеров;
участие в обеспечении технико-технологической безопасности предприятия в рамках компетенций службы
безопасности, в том числе защита технологических новшеств;
оперативная работа с персоналом, предотвращение негативных воздействий на интеллектуальный потенциал
компании и трудовые отношения на предприятии;
защита внутренней информации, в том числе коммерческой, конфиденциальной, персональных данных,
организационной;
информационно-аналитическая деятельность с внешними объектами и различными источниками информации, а
также контроль защиты информационной системы предприятия;
предупреждение противоправных и незаконных действий со стороны внутренних субъектов предприятия;
проработка юридических вопросов в сфере безопасности компании;
решение вопросов, касающихся физической безопасности и режима на предприятии; консультирование и
разработка рекомендаций для руководства компании по обеспечению экономической безопасности
предприятия.

23. Финансовая служба

Управление денежными потоками (казначейская функция) и управление оборотным капиталом.
Обработка финансовых транзакций
Подготовка корпоративной отчетности (бухгалтерской, налоговой, управленческой, статистической и
прочей)
Бизнес-аналитика - обеспечивает поддержку процессов, помогает организации планировать и
оптимизировать операции, выявлять и развивать новые возможности
Бюджетирование и контроль результатов деятельности бизнеса, разработка финансовых моделей
Управление расходами и операционной эффективностью
Выявление наиболее ресурсоемких бизнес-процессов и анализ возможностей передачи их на
аутсорсинг

24. Экономическая служба

Экономический анализ бизнес-процессов
Управление денежными средствами
Внутренний аудит операций
Финансовый контроль договоров
Управленческий учет и отчетность
Планирование бюджетов
Управление заемными средствами

25. Юридическая служба

Обеспечение законности в деятельности организации, защита ее прав и интересов
Обеспечение правовыми средствами сохранности имущества, поддержание и развитие правовой
культуры организации
Глобальное обеспечение законности в компании

26. Кадровая служба

Выявление потребностей организации в новых сотрудниках
Поиск необходимых кадров и прием их в штат
Ведение штатного расписания
Ведение, хранение, внесение записей, а также выдача трудовых книжек
Оформление локальных правовых актов
Повышение квалификации сотрудников
Ведение воинского учета в организации
Ведение документооборота в кадровой сфере
Контроль дисциплины
Ведение регистрации отпусков, создание графиков, утверждение и оформление отпусков
согласно нормативно-правовым нормам
Включение программ мотивации сотрудников
Осуществление аттестации сотрудников штата
Осуществление профессиональной оценки работников, создание и подготовка программы
карьерного роста

27. Бухгалтерская служба

Непрерывное ведение бухгалтерского учета, фиксирование всех хозяйственных операций,
происходящих на предприятии и хозяйственных процессов. Данная функция является основной и
обеспечивает необходимой информацией внутренних и внешних пользователей.
Осуществление
контроля за сохранностью имущества предприятия, за своевременным
проведением инвентаризации, за соблюдением сроков предоставления отчетности, за правильным
ведением расчетов и т.д.
Организация документооборота и обмена учетной информацией между подразделениями
организации.
Систематический анализ учетной информации для обеспечения финансовой устойчивости
предприятия.

28. Служба автоматизации

Внедрение новейших достижений науки и техники в области автоматизации. Подготовка технических
заданий с технико-экономическим обоснованием на создание средств автоматизации и обоснованием
разрабатываемых конструкций.
Составление перспективных и годовых планов автоматизации производственных процессов,
соответствующих разделов технического развития производства, разработка предложений по
реконструкции и техническому перевооружению предприятия, формирование предложений в
перспективные планы НИОКР.
Внедрение импортозамещающих средств автоматизации, повышающих надёжность эксплуатации и
ведущих к удешевлению выпускаемой продукции.
Организация работ по реконструкции систем контроля, управления и защиты, средств автоматизации
объектов
Поддержание в исправном состоянии вычислительной техники, оборудования локально-вычислительных
сетей
Обеспечение внедрения новой вычислительной техники, типовых и стандартных программных средств.
Обслуживание программного обеспечения и оборудования локально- вычислительных сетей.
Оказание практической помощи подразделениям в составлении эксплуатационных инструкций и
обеспечении ими рабочих мест
Контроль за обеспечением подразделений общегосударственной и отраслевой нормативно-технической
документацией по эксплуатации средств автоматизации и контрольно-измерительных приборов, в том
числе электронно-вычислительных машин, противопожарной и охранной автоматики, средств
технологической связи и др.

29. Служба внутреннего аудита

контроль за различными сферами деятельности, влияющими на эффективность компании
выявление злоупотреблений и недочетов
предупреждение вероятных рисков

30. Архивная служба

Ведение списков организаций и структурных подразделений организаций - источников
комплектования архива
Принятие документов структурных подразделений организации и организаций - источников
комплектования архива
Учет и обеспечение сохранности принятых в архив документов
Создание и поддержание в актуальном состоянии научно-справочного аппарата
Организация информационного обслуживания руководителей и структурных подразделений
организации, осуществление использования документов по запросам организаций и частных лиц, в
том числе социально-правовым запросам граждан, учет и анализ использования
Проверка правильности формирования и оформления дел в структурных подразделениях
организаций и других организациях - источниках комплектования
Организация работы по составлению номенклатуры дел организации
Методическая и практическая помощь структурным подразделениям в работе с документами
Участие в разработке нормативных и методических документов по архивному делу и
документационному обеспечению управления;
Участие в проведении мероприятий по повышению квалификации работников архива и службы
документационного обеспечения управления, в том числе в организациях - источниках
комплектования архива

31. Внутренние нарушители

Подкупленный или шантажируемый работник
Обиженный работник
Халатный работник
Внедренный работник
Сам злоумышленник, посредством связей в организации или
после проникновения в организацию
Внутренний нарушитель – самый опасный нарушитель для
организации

32. Подкупленный или шантажируемый работник

Работника организации могут подкупить деньгами, обещанием
преференций, должности, будущих благ.
В таком случае он пренебрежет интересами организации и
предоставит злоумышленнику возможность самому провести
атаку либо выполнит все указания
Шантажируемый работник будет действовать аналогичным
образом под страхом разглашения неблаговидной информации
о нем или причинения ущерба его близким.

33. Обиженный работник

Обиженный работник представляет серьезную угрозу для любой
организации.
Несправедливая зарплата, отсутствие повышения в должности,
конфликты с коллективом или руководством, пренебрежительное
отношение руководства, чрезмерная нагрузка, неравное
распределение нагрузки, скверный характер могут стать
поводами для работника затаить обиду и попытаться отомстить –
навредить как самой организации, так и ее отдельным
работникам

34. Халатный работник

Халатный, легкомысленный работник, как правило, не имеет злого
умысла, но своими действиями, вольно или невольно, может
нанести ущерб организации.
Такие работники склонны игнорировать меры предосторожности в
своей работе, они посещают сомнительные сайты, не глядя
открывают вложения в почте, могут без рассуждений вставить
случайный носитель информации в свой рабочий компьютер или
обсуждать частные дела организации в каких-либо публичных
местах.
Халатного работника несложно использовать втемную, в таком
случае он будет совершать действия, продиктованные
злоумышленником, не особо задумываясь об их эффете

35. Внедренный работник

Внедренный работник исполняет волю того, кто его внедрил в
организацию, проявляя при этом некоторую инициативу.
Он может преследовать и личные цели.
В любом случае, он находится в сговоре со злоумышленником.

36. Злоумышленник

Сам злоумышленник, проникнувший в организацию под видом
работника или посетителя, может нанести самый значительный
ущерб, поскольку будет исполнять свой умысел без посредников.