Управленческий учет 

Главный объект безопасности от сохранности. Обеспечение безопасности объектов информатизации


Постановление Правительства РФ от 10 декабря 2008 г. N 940
"Об уровнях безопасности объектов транспортной инфраструктуры и транспортных средств и о порядке их объявления (установления)"

С изменениями и дополнениями от:

В соответствии со статьей 7 Федерального закона "О транспортной безопасности" Правительство Российской Федерации постановляет:

1. Установить следующие уровни безопасности объектов транспортной инфраструктуры и транспортных средств:

уровень N 1 - степень защищенности транспортного комплекса от потенциальных угроз, заключающихся в наличии совокупности вероятных условий и факторов, создающих опасность совершения акта незаконного вмешательства в деятельность транспортного комплекса;

уровень N 2 - степень защищенности транспортного комплекса от непосредственных угроз, заключающихся в наличии совокупности конкретных условий и факторов, создающих опасность совершения акта незаконного вмешательства в деятельность транспортного комплекса;

уровень N 3 - степень защищенности транспортного комплекса от прямых угроз, заключающихся в наличии совокупности условий и факторов, создавших опасность совершения акта незаконного вмешательства в деятельность транспортного комплекса.

2. Установить, что уровень безопасности объектов транспортной инфраструктуры и транспортных средств N 1 действует постоянно, если не объявлен иной уровень безопасности.

3. Установить, что уровни безопасности объектов транспортной инфраструктуры и транспортных средств N 2 и 3 объявляются (устанавливаются) и отменяются субъектами транспортной инфраструктуры на основании:

решения руководителей образованных в соответствии с Указом Президента Российской Федерации от 15 февраля 2006 г. N 116 Федерального оперативного штаба, оперативных штабов в субъектах Российской Федерации (уполномоченных ими должностных лиц) либо руководителей образованных в соответствии с Указом Президента Российской Федерации от 26 декабря 2015 г. N 664 оперативных штабов в морских районах (бассейнах) (уполномоченных ими должностных лиц) об изменении степени угрозы совершения носящего террористический характер акта незаконного вмешательства в деятельность транспортного комплекса;

решения Министра внутренних дел Российской Федерации либо Министра транспорта Российской Федерации (уполномоченных ими должностных лиц) об изменении степени угрозы совершения не носящего террористический характер акта незаконного вмешательства в деятельность транспортного комплекса.

4. Уровни безопасности объектов транспортной инфраструктуры и транспортных средств N 2 и 3 могут объявляться (устанавливаться) как в отношении 1 объекта, так и в отношении группы (2 и более) объектов транспортной инфраструктуры и транспортных средств.

01.07.2014

Термин «безопасность» в зависимости от конкретных целей и задач имеет несколько вариантов определений. Из них самое древнее: «безопасность есть предотвращение зла» (Платон, «Определения», стих 415). Согласно ГОСТ Р1.2, «безопасность - отсутствие недопустимого риска, связанного с возможностью нанесения ущерба». Согласно Закону РФ «О безопасности», «безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз».

В практике деятельности нашего предприятия ФГУП НИКИРЭТ применительно к системам безопасности промышленных объектов используются следующие ключевые термины и определения:

Безопасность комплексная - состояние защищенности жизненно важных интересов и ресурсов объекта от внешних и внутренних угроз во всех сферах жизнедеятельности;

Безопасность физическая - состояние защищенности жизненно важных интересов и ресурсов объекта от угроз, источниками которых являются противоправные (несанкционированные) действия физических лиц (нарушителей) или от преступных посягательств физических лиц (нарушителей).

Требуемый уровень защищенности объекта должен обеспечиваться системой безопасности, которая представляет собой совокупность организационных, инженерных и технических мероприятий, направленных на обнаружение и ликвидацию внешних и внутренних угроз.

Системы безопасности объекта (СБО) могут быть целевыми, т.е. выполнять конкретные задачи определенного направления, или комплексными (интегрированными), когда объединяются несколько направлений и способов защиты .

К основным целевым СБО относятся:

  • система защиты объекта при чрезвычайных ситуациях (ЧС);
  • система физической (охранной) безопасности;
  • система технологической безопасности;
  • система информационной безопасности;
  • система экономической безопасности.

Поэтому на начальном этапе создания СБО необходимо определиться с целями и задачами защиты объекта и определить, какую (какие) систему (системы) безопасности требуется создать. Для решения этих задач целесообразно разработать концепцию безопасности конкретного объекта, которая выражала бы общий замысел обеспечения его безопасности от прогнозируемых угроз.

Концепция обеспечения безопасности объекта

Концепция безопасности должна определять пути и методы решения основных задач по обеспечению безопасности объекта и отвечать на главные концептуальные вопросы: «Что защищать?», «От кого защищать?», «Как защищать?».

Ответы на первые два вопроса обычно формируются разработчиками «Концепции...» при обследовании объекта, в котором участвуют служба безопасности и соответствующие компетентные структуры заказчика.

Ответ на последний вопрос должен формироваться в процессе разработки «Концепции безопасности объекта», которая входит в состав «Концептуального проекта создания СБО» .

На рисунке в качестве примера в общем виде представлены принципы и решения концептуальных вопросов обеспечения безопасности объекта от принятых угроз.

Суть концепции безопасности любого объекта состоит в решении трех задач:

  • определение целей (объектов или предметов) защиты;
  • определение и оценка угроз и их источников (исполнителей);
  • разработка и реализация адекватных мер защиты.

На охраняемом объекте, в принципе, существуют следующие основные цели (предметы) защиты:

  • люди (персонал объекта, население прилегающей территории);
  • имущество (оборудование, ценности, документация);
  • информация (конфиденциальная, служебная или коммерческая);
  • финансово-экономические ресурсы, обеспечивающие эффективное и устойчивое развитие предприятия.

Цели (предметы) защиты образуют пространство угроз . Под угрозой понимается потенциальная возможность нанесения какого-либо ущерба защищаемому объекту.

В обобщенном виде основными видами потенциальных угроз безопасности объекта являются:

  • чрезвычайная ситуация (авария, пожар, наводнение, разрушение, массовые инфекционные заболевания и отравления людей);
  • хищение (утрата) имущества;
  • несанкционированный съем информации, содержащей коммерческую или служебную тайну;
  • ухудшение эффективности функционирования, устойчивости развития, банкротство предприятия.

Реализация этих угроз может привести к большому материальному ущербу, созданию угрозы для жизни и здоровья людей, разглашению конфиденциальной информации и сведений, содержащих Государственную тайну, банкротству предприятия.

Как следует из приведенных на рисунке источников угроз, в современных условиях несанкционированные действия нарушителей (НСД) могут привести к возникновению большинства прогнозируемых угроз.

Ответ на вопрос «как защищать?» в общем виде заключается в непрерывном решении и реализации следующих основных задач:

  • своевременное прогнозирование и выявление внешних и внутренних угроз корпоративным ресурсам и жизненно-важным интересам предприятия;
  • разработка и реализация адекватных угрозам оперативных и долгосрочных мер по предупреждению и нейтрализации внутренних и внешних угроз;
  • создание комплексной или соответствующей целевой системы безопасности, реализующей цели концепции и разработанные меры обеспечения безопасности.

СБО должна быть сформирована таким образом, чтобы с помощью персонала и технических средств эффективно противостоять прогнозируемым угрозам путем принятия адекватных мер защиты.

Из всех угроз самыми опасными являются ЧС. Их последствия на некоторых потенциально опасных объектах могут привести не только к большому материальному ущербу, но и вызвать угрозу для жизни и здоровья персонала объекта и населения за пределами его территории, а также негативное воздействие на окружающую среду.

Основными источниками (причинами) угроз возникновения ЧС на объектах, кроме природных и техногенных, являются НСД нарушителей, конкурентов.

Следует отметить, что в современных условиях особую опасность представляют угрозы совершения диверсионно-террористических и других преступных действий нарушителей: террористов, криминальных элементов, экстремистов. Результаты их действий непредсказуемы: от хищения имущества до создания ЧС на объекте с катастрофическими последствиями. Об этом говорится в ряде законодательных актов РФ по безопасности.

В «Концепции национальной безопасности РФ» сказано: «...Решения и меры, принимаемые в области борьбы с преступностью, должны... носить упреждающий характер».

Самой эффективной, в том числе и предупредительной, мерой по обеспечению безопасности объектов от диверсионно-террористических угроз является создание и обеспечение устойчивого функционирования автоматизированной системы охраны, или автоматизированной системы физической защиты (СФЗ).

Необходимость организации физической защиты предусмотрена Законом РФ «О промышленной безопасности опасных производственных объектов» , который обязывает эксплуатирующую опасный объект организацию декларировать его промышленную безопасность и в числе других мер безопасности «. предотвращать проникновение на объект посторонних лиц».

СФЗ должна предусматривать единый комплекс организационных и инженерно-технических мер по защите объекта от НСД нарушителей. Для современных СФЗ должна ставиться также задача защиты от непреднамеренных, ошибочных действий персонала объекта , которые по характеру возможного ущерба приближаются к НСД нарушителей.

Создание эффективной СФЗ объекта - задача многоплановая, требующая комплексного научного подхода и до-вольно значительных затрат. Поэтому в современных условиях ограниченных материальных ресурсов Заказчиков при создании СФЗ на первый план выдвигается необходимость оптимизации ее структуры по критерию «эффективность-стоимость», т.е. «максимум эффективности при минимуме затрат» .

Но и в отношении «максимума эффективности» должны быть наложены определенные ограничения. Эта задача усложняется при создании СФЗ для группы различных по своему назначению и сложности объектов. В этом случае должен реализовываться один из основных принципов концепции физической защиты - уровень физической защиты должен быть адекватен важности или потенциальной опасности защищаемого объекта.

Классификация объектов с позиции физической защиты

Согласно действующим в настоящее время нормативным документам , объекты классифицируются в зависимости от значимости и концентрации материальных, художественных, исторических, культурных и культовых ценностей, размещенных на объекте, последствий от возможных преступных посягательств на них. Все объекты, их помещения и территории подразделяются на две группы (категории): А и Б. Ввиду большого разнообразия разнородных объектов в каждой группе они дополнительно подразделяются на две подгруппы каждая: AI и AII, Б I и БII.

В соответствии с этим, в действиях сил охраны возникают некоторые специфические моменты, суть которых состоит в следующем. На особо важных и потенциально опасных объектах тактика сил охраны должна быть направлена на нейтрализацию нарушителей до того момента, как они выполнят намеченную акцию. На других объектах нарушитель может быть нейтрализован как до, так и после совершения акции.

Принадлежность объекта к определенному классу, тактика действий сил охраны должны учитываться при выборе оптимального количества, качества и взаимного расположения компонентов комплекса инженерно-технических средств охраны конкретного объекта, что позволит сэкономить ресурсы Заказчика и обеспечить достаточно эффективную защиту объекта от НСД нарушителей.

Порядок создания СФЗ

  1. Обследование предложенных Заказчиком или определенных совместно «типовых» объектов. Результаты работы на данном этапе представляются в виде типового протокола обследования, в котором отражаются характеристики объекта и существующей системы охраны. При этом совместно с Заказчиком формулируются угрозы безопасности объекта и определяется модель исполнителей угроз - нарушителей.
  2. Разработка концепции физической защиты (охранной безопасности) объектов. На этом этапе анализируются результаты обследований объектов, уточняются угрозы и модели нарушителей, объекты и предметы защиты классифицируются по важности и потенциальной опасности и формулируются основные принципы их физической защиты, проводится оценка уязвимости существующей системы охраны.
  3. Разработка и выбор оптимальной структуры СФЗ и комплекса инженерно-технических средств охраны (ИТСО) объектов. При этом, как правило, разрабатывается несколько вариантов структуры комплексов и производится количественная оценка их эффективности по специальной компьютерной методике


По этой методике в наглядной форме путем моделирования на ПЭВМ процесса действий нарушителей и сил охраны производится количественная оценка основного показателя эффективности СФЗ объекта — вероятности перехвата нарушителя
силами охраны, действующими по сигналу срабатывания комплекса ИТСО.

Определяются также ожидаемые тактико-технико-экономические показатели предлагаемых комплексов ИТСО. По результатам оценки выбирается наиболее оптимальный вариант по критерию «эффективность-стоимость», приводятся рекомендации по организации оперативных действий сил охраны по сигналам комплекса ИТСО и расчет их необходимой численности. Даются рекомендации по наиболее оптимальным срокам и этапам внедрения комплекса на объекте. Приводятся также рекомендации по организации эксплуатации, технического обслуживания и ремонта аппаратуры ТСО, а также расчет необходимой численности технического персонала для выполнения этих работ.

Результаты работы оформляются в виде пояснительной записки к «Концептуальному проекту...» или «Технико-экономическому обоснованию (ТЭО)». Этот документ в дальнейшем используется службой безопасности в качестве руководства по организации физической защиты объекта и позволяет Заказчику оптимально планировать этапы и сроки выполнения работ, а также затраты по оборудованию объекта комплексами ИТСО.

Дальнейший порядок работ обычный: разработка рабочей документации - внедрение комплекса ИТСО в систему охраны объекта.

Заключение

Разработка концепции безопасности объекта, определяющей облик будущей СФЗ и основные тактико-технико-экономические показатели предлагаемых вариантов комплексов ИТСО по критерию «эффективность-стоимость», позволяет избежать ошибок при рабочем проектировании оборудования объекта комплексом ИТСО и является необходимым этапом работ при создании СФЗ объекта.

Предлагаемая классификация защищаемых объектов по их значимости и потенциальной опасности позволит облегчить решение задачи выбора оптимальной структуры СФЗ и комплекса ИТСО конкретного объекта.

Под безопасностью подразумевается защищенность жизненно важных интересов личности, общества или государства от различных внешних и внутренних угроз и факторов. Это неотъемлемая часть любой системы, где человек взаимодействует с окружающим его миром. Все виды безопасности так или иначе связаны со взаимодействием людей с окружающей средой, миром и человечеством в целом.

Какие уровни?

Безопасность жизнедеятельности – это многоплановый термин, который подразумевает безопасное взаимодействие человека со средой обитания в целом. Среда обитания, в свою очередь, состоит из совокупности различных факторов: социальных, техногенных, природных, которые существуют вокруг нас. Соответственно, подразделяются на различные структурные уровни виды безопасности:

  • личная;
  • общественная;
  • государственная;
  • международная.

Личная и коллективная безопасность

В данном сегменте можно выделить несколько видов безопасности, которые важны для конкретного человека и людей в целом. Речь идет, прежде всего, о безопасности здоровья, когда обеспечивается соматическая норма состояния человека, который ощущает привычное функционирование всех систем своего организма.

Психологическая безопасность – это внутренняя уравновешенность человека, когда он адекватно реагирует на внешние воздействия и может вести себя в соответствии с установленными обществом нормами и правилами. Данные виды безопасности человека направлены на защиту от криминального или техногенного воздействия.

Противопожарная безопасность требует пристального внимания к старому жилому фонду, а также состоянию электросетей. В рамках природной и экологической безопасности государство должно обеспечить необходимую защиту населения от различных природных факторов: наводнений, землетрясений, ураганов и так далее. На защиту человека вступает именно государство и само общество, представленное органами внутренних дел, системами здравоохранения, социального развития и так далее.

Государственная безопасность

Следующие виды безопасности связаны с защитой государства. В рамках этих мероприятий должна обеспечиваться безопасность конституционного строя, целостность и суверенитет страны, защита державы от терроризма. Все это регулируется в рамках национальной экономики, потому что любое государство должно быть защищено как от внутренних, так и от внешних угроз. В стране обязательно должны быть разработаны мероприятия, охраняющие информационные и национальные потоки. Субъектами, которые обеспечивают все эти разновидности безопасности, выступают Совет Безопасности, Федеральная служба безопасности, Центральный банк Российской Федерации и другие государственные структуры.

Коллективная безопасность

Отдельные виды безопасности относятся к международным системам, способным защитить мировое сообщество в целом. Так, в рамках антивоенной безопасности активная защита выполняется от различных вооруженных конфликтов между странами и различными блоками. Проводятся своевременные мероприятия по противоэпидемиологической безопасности, эффективные операции, направленные на предотвращение различных эпидемий и опасных заболеваний. Различные страны эффективно взаимодействуют для организации борьбы с организованной преступностью.

Некоторые виды безопасности РФ направлены на оказание экстренной международной гуманитарной помощи населению своей и других стран, которые оказались в зоне чрезвычайных ситуаций, бедствий, природных катастроф. Коллективная безопасность обеспечивается ООН, Интерполом, различными мировыми банками, ЮНЕСКО и многими другими организациями.

Глобальная безопасность

Высший уровень безопасности – это система глобальной безопасности, которая затрагивает интересы всего человечества, а не отдельные страны или национальности, так как носит общепланетарный характер. Так, космологическая безопасность предполагает своевременное изучение процессов, которые происходят во Вселенной и могут привести к плохим последствиям. В рамках мероприятий отслеживается все то, что происходит во Вселенной: активность Солнца, астероиды, параметры географической оболочки планеты. Характеристика видов безопасности и оценка последствий глобальных явлений ведется ООН и соответствующими профильными организациями.

Рассмотрим некоторые виды по отдельности более подробно.

Экологическая

Нельзя гарантировать безопасность личности и государства в целом, если экологические процессы в окружающей среде нарушены. Экологическая безопасность направлена на то, чтобы российское общество и человечество в целом могли выжить. Под этим процессом понимается защищенность личности, общества, страны, окружающей среды от угроз, которые могут быть оказаны на них. Государство, в свою очередь, должно охранять жизнь, здоровье, условия жизнедеятельности человека, защищать его ценности, окружающую природную среду.

Любые виды безопасности предполагают наличие управления и законодательно-правовой базы, которая направлена на уменьшение возможного вредного воздействия на среду.

Национальная

Под национальной безопасностью понимаются меры, способные обеспечить потенциал развития конкретной страны на длительный срок, стабильность и благополучие в обществе. Она включает в себя государственную, общественную, техногенную, экологическую безопасности. Чтобы обеспечить национальную защищенность, используются различные виды обеспечения безопасности, которые должны оберегать государственный и общественный строй, обеспечивать территориальную неприкосновенность и суверенитет, политическую и экономическую независимость нации, ее здоровье, бороться с преступностью. За национальную безопасность страны отвечают армия, службы разведки, правоохранительные и медицинские органы.

Каждое государство заинтересовано в том, чтобы обеспечить безопасность своего населения. А для этого необходима гарантированная поддержка конституционными, законодательными и практическими мероприятиями. Среди государственных интересов можно отметить независимость страны, ее политическое самоопределение, самоуправление, а также благополучие всего населения. За безопасность в государстве отвечают различные институты и организации, общественные системы, в том числе и с участием обычных граждан. Кроме того, обеспечение безопасности должно вестись на основе нескольких принципов:

  1. Государственные интересы всегда в приоритете.
  2. Действующее в стране законодательство должно соблюдаться в любых ситуациях.
  3. Государственные органы отвечают за безопасность в стране.
  4. Общество должно своевременно информироваться о состоянии государственной безопасности и угрозах.

Промышленная

Под промышленной безопасностью понимается защищенность интересов общества и личности в случае аварий на производственных объектах. В целях предотвращения подобных явлений государством и конкретными компаниями прорабатываются различные виды мер безопасности. В рамках обеспечения безопасности каждая компания, занятая в опасном производстве, обязана:

  • соблюдать законы, нормы и положения нормативно-технических документов;
  • получать лицензию на осуществление деятельности в сфере промышленной безопасности;
  • обеспечивать укомплектованность рабочего персонала в соответствии с установленными нормами и правилами;
  • допускать к работе только квалифицированных сотрудников.

За промышленную безопасность отвечают, прежде всего, руководители организаций, ведущих опасную с точки зрения воздействия на организм человека и окружающую среду деятельность.

Информационная

Информационная безопасность - это отдельное направление, защищающее интересы субъектов информационных отношений. Основными ее составляющими являются конфиденциальность, доступность и целостность. Данные виды безопасности объекта предполагают создание систем, которые служили бы гарантией защищенности информации, передающейся самыми разными способами. Чтобы создать такую систему, требуется:

  • выявление требований защиты информации, которые обладают определенной спецификой;
  • соответствие требованиям национального и международного законодательства;
  • использование наработанных практик;
  • распределение ответственности, в соответствии с требованиями системы между подразделениями;
  • определение общих положений и требований.

Экономическая

Экономические, или финансовые, виды безопасности объекта одни из самых основных. Они предполагают наличие стабильного дохода и других ресурсов, которые могли бы поддержать уровень жизни человека в конкретный момент. В рамках экономической безопасности субъект должен сохранять платежеспособность, планировать будущие денежные потоки, иметь безопасную занятость.

В рамках экономической безопасности учитываются различные показатели, которые позволяют государству контролировать национальные ресурсы, защищать экономические интересы страны на национальном и международном уровнях. Среди внутренних угроз можно отметить разрушение научно-технического потенциала, уменьшение количества разработок в научной сфере, отток кадров за границу.

К внешним угрозам экономической безопасности относятся высокий уровень зависимости от импорта, нерациональную структуру экспорта, рост внешней задолженности, отток валютных ресурсов. В любом из этих вариантов государство должно продумывать мероприятия, которые будут предотвращать возможные серьезные последствия для его населения.

Военная

Под этим видом безопасности понимается защищенность личности, общества и государства от различных военных угроз. Она имеет внешний и внутренний аспекты. В рамках военной безопасности государство должно быть готово в любой момент защитить свои интересы и независимость и противостоять военной агрессии, шантажу с позиции силы, своевременно пресекая попытки развязать войну.

Отвечают за данные виды безопасности организации, включающие в себя разведку, контрразведку, пограничные войска, вооруженные силы. Кроме того, обеспечить военную безопасность можно и политическими средствами, военно-политическими союзами, участием в договорных процессах, чтобы сократить и ограничить вооружения.

В рамках военной выделяются внешняя и внутренняя безопасность. Извне государство должно быть защищено от различных террористических группировок, которые особенно активны сегодня. Основные виды безопасности внутри страны направлены на защиту населения от коррупции, взяточничества, бандитизма, наркомании, воровства и многих других правонарушений.

В сфере военной безопасности государство может подвергнуться воздействию следующих угроз:

  • агрессивных устремлений иностранных государств и военных блоков;
  • развалу вооруженных сил, военно-промышленного комплекса;
  • утечке умов из армии и оборонной промышленности;
  • недостаточному финансированию субъектов военной безопасности;
  • шпионажа в пользу иностранных государств.

Что такое техника безопасности?

Этот термин обозначает комплекс мероприятий, которые проводятся для достижения безопасных условий труда и предотвращения несчастных случаев на производстве. Каждый завод имеет специальную службу безопасности, которая и занимается разработкой мероприятий.

Сводятся они к следующему:

  • улучшается конструкция оборудования, чтобы рабочие были защищены от травм;
  • монтируются различные защитные механизмы, способные защитить станки и рабочего;
  • улучшаются условия работы, а для этого важно, чтобы помещение хорошо освещалось, вентилировалось, чистилось и избавлялось от токсичных отходов своевременно;
  • устраняются возможные причины, которые могут привести к поломке оборудования;
  • рабочие обеспечиваются средствами индивидуальной защиты; виды техники безопасности подбираются в зависимости от конкретного типа производственного процесса.

Как проводится инструктаж?

Любой инструктаж – это обучение сотрудников, причем как новичков, так и опытных рабочих. В зависимости от характера преподносимой информации и времени проведения инструктаж бывает вводным, первичным, повторным, внеплановым, целевым.

  • Вводный проводится инженером по охране труда для любого принимаемого на работу сотрудника.
  • Первичный - на рабочем месте руководителем работ по охране труда.
  • Повторному инструктажу подвергаются все лица на рабочем месте спустя 6 месяцев после первичного.
  • Внеплановый инструктаж проводится, если были изменены или введены в действие новые стандарты, правила, инструкции или нарушены уже введенные.
  • Целевой проводится в том случае, если работник должен выполнить работы, не связанные с его основной деятельностью.

Виды техники безопасности продумываются в зависимости от особенностей деятельности предприятия, характерных специфик производственного процесса.

Таким образом, каждый человек имеет право жить в защищенном государстве, а оно, в свою очередь, должно предусмотреть соответствующие мероприятия, законодательные акты, которые направлены на защиту жизни и здоровья населения.

Проектирование системы обеспечения безопасности объекта

Построение профиля защиты

На этом этапе разрабатывается план проектирования системы защиты информационной среды Заказчика. Производится оценка доступных средств, осуществляется анализ и планирование разработки и интеграции средств защиты (рис. 2). Необходимым элементом работы является утверждение у Заказчика допустимого риска объекта защиты.

Рис. 2. Возможный алгоритм оценивания информационных рисков


Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике без-опасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.
Работа по построению плана защиты объекта начинается с построения профиля защиты данного объекта. При этом часть этой работы уже была проделана при проведении анализа рисков.

Формирование организационной политики безопасности

Прежде чем предлагать какие-либо технические решения по системе информационной безопасности объекта, предстоит разработать для него политику безопасности.
Собственно организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности.
Система информационной безопасности (СИБ) объекта окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Шагами построения организационной политики безопасности являются:

· внесение в описание объекта автоматизации структуры ценности и проведение анализа риска;
· определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.
Организационная политика безопасности оформляется в виде отдельного документа, который согласовывается и утверждается Заказчиком.

Условия безопасного использования ИТ

Предполагается, что система обеспечения безопасности объекта Заказчика, соответствующая выбранному профилю защиты, обеспечит требуемый уровень безопасности только в том случае, если она установлена, управляется и используется в соответствие с выработанными правилами. Операционная среда должна управляться согласно принятой для данного профиля защиты нормативной документации, а также инструкциям администраторов и пользователей.
Выделяются следующие виды условий безопасного использования ИТ:

· физические условия;
· условия для персонала;
· условия соединений.
Физические условия касаются размещения ресурсов объекта, а также защиты аппаратных средств и программного обеспечения, критичных к нарушению политики безопасности.
Условия для персонала содержат организационные вопросы управления безопасностью и отслеживания полномочий пользователей.
Условия соединений не содержат явных требований для сетей и распределенных систем, но, например, условие равенства положения означает наличие единой области управления всей сетью объекта.
Условия безопасного использования объекта автоматизации оформляются в виде отдельного документа, который согласовывается и утверждается Заказчиком.

Формулирование целей безопасности объекта

В этом разделе профиля защиты дается детализованное описание общей цели построения системы безопасности объекта Заказчика, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив).
Факторы безопасности, в свою очередь, могут распределяться на технологические, технические и организационные.
Определение функциональных требований безопасности
Функциональные требования профиля защиты определяются на основе набора хорошо известных, отработанных и согласованных функциональных требований безопасности. Все требования к функциям безопасности можно разделить на два типа: управление доступом к информации и управление потоками информации.
На этом этапе предстоит правильно определить для объекта компоненты функций безопасности. Компонент функции безопасности описывает определенный набор требований безопасности - наименьший выбираемый набор требований безопасности для включения в профиль защиты. Между компонентами могут существовать зависимости.

Требования гарантии достигаемой защищенности

Структура требований гарантии аналогична структуре функциональных требований и включает классы, семейства, компоненты и элементы гарантии, а также уровни гарантии. Классы и семейства гарантии отражают такие вопросы, как разработка, управление конфигурацией, рабочая документация, поддержание этапов жизненного цикла, тестирование, оценка уязвимости и другие вопросы.
nbsp; Требования гарантии достигаемой защиты выражаются через оценки функций безопасности СИБ объекта. Оценка силы функции без-опасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам. Исходя из известного потенциала нападения, сила функции защиты определяется, например, категориями "базовая", "средняя", "высокая".
Потенциал нападения определяется путем экспертизы возможностей, ресурсов и мотивов побуждения нападающего.
Уровни гарантии. Предлагается использовать табличную сводку уровней гарантированности защиты. Уровни гарантии имеют иерархическую структуру, где каждый следующий уровень предоставляет большие гарантии и включает все требования предыдущего.

Формирование перечня требований

Перечень требований к системе информационной безопасности, эскизный проект, план защиты (далее - техническая документация, ТД) содержит набор требований безопасности информационной среды объекта Заказчика, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.
В общем виде разработка ТД включает:

· уточнение функций защиты;
· выбор архитектурных принципов построения СИБ;
· разработку логической структуры СИБ (четкое описание интерфейсов);
· уточнение требований функций обеспечения гарантоспособности СИБ;
· разработку методики и программы испытаний на соответствие сформулированным требованиям.
Оценка достигаемой защищенности

На этом этапе производится оценка меры гарантии безопасности информационной среды объекта автоматизации. Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта.
Базовые положения данной методики предполагают, что степень гарантии следует из эффективности усилий при проведении оценки безопасности.
Увеличение усилий оценки предполагает:

· значительное число элементов информационной среды объекта, участвующих в процессе оценивания;
· расширение типов проектов и описаний деталей выполнения при проектировании системы обеспечения безопасности;
· строгость, заключающуюся в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.
Заключение

В целом рассмотренная выше методика позволяет оценить или переоценить уровень текущего состояния информационной безопасности предприятия, выработать рекомендации по обеспечению (повышению) информационной без-опасности предприятия, снизить потенциальные потери предприятия или организации путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности предприятия, а также предложить планы защиты конфиденциальной информации предприятия, передаваемой по открытым каналам связи, защиты информации предприятия от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.

Информационно-справочный сайт

Объект безопасности

Говоря о «безопасности», следует подразумевать некую систему, включающую в себя одновременно и потенциальный объект воздействия - объект безопасности, и хотя бы одну опасность. При этом ситуация в случае «безопасности» такова, что все угрозы парируются либо уклонением или уничтожением источников опасности, либо защитой от их разрушительного воздействия. Безопасность достигается благодаря устойчивости, стабильности и живучести системы. Понятийный аппарат категории «безопасность» можно представить следующим образом.


Объектом называют предметы и явления реального мира, на которые направлена какая-либо деятельность. Соответственно, объектом безопасности можно считать любую систему, состояние защищенности которой необходимо обеспечить, - личность, общество и государство, а также природные и технические системы. Объекты безопасности подвергаются воздействию различных опасностей и угроз, а, следовательно, их нужно рассматривать одновременно как объекты опасностей.


Объектами безопасности выступают объекты различного пространственно-географического масштаба: межпланетное пространство, планета, материк, регион в планетарном пространстве (например, азиатско-тихоокеанский), страна, регион в рамках государства (например, дальневосточный), район, местность.


Объектами безопасности являются различные социальные системы: индивид, семья, группа, профессиональный коллектив, население региона, народ, нация, человечество. Соответственно выделяют несколько иерархических уровней безопасности.

Кроме того, объектами безопасности являются объекты производственной сферы: транснациональные корпорации, отрасли, производственные объединения, предприятия, цеха, технологии, продукция.


Опасность - объективно существующая вероятность негативного воздействия на систему, определяемая наличием факторов, обладающих поражающими свойствами, в результате которой может быть причинен какой-либо вред.


Угрозой называют опасность на стадии перехода из возможности в реальность.

Иерархические уровни безопасности

Опасности угрожают целостности какой-либо системы, самому ее существованию, а в случае социальных систем, к числу которых относится личность как устойчивая совокупность социально значимых черт, общество и государство, их потребностям, ценностям и интересам. При этом потребностью называют состояние индивида, создаваемое испытываемой им нуждой в объектах, необходимых для его существования и развития.


Для обеспечения безопасности человека наиболее важными являются потребность в пище, одежде, жилище, особи другого пола. Именно удовлетворение данных потребностей становится условием выживания человека как биологического существа. Кроме того, у человека имеются социальные потребности (в общении, самовыражении, самоутверждении), удовлетворить которые он может только в группе других людей. Удовлетворение этих потребностей становится условием сохранения психического здоровья индивида.


Интерес - это форма проявления какой-либо потребности, обеспечивающая направленность деятельности по удовлетворению потребности. Интересы могут быть индивидуальными и групповыми (семейными, профессиональными, общественными, государственными и общенациональными). К числу последних, например, относятся территориальная целостность страны, государственное самоопределение и самоуправление, достойное место в мировом сообществе, процветание населения и др.


Ценность - это понятие, используемое в философии, социологии и психологии для обозначения объектов, явлений и идей, воплощающих общественные идеалы. Ценности могут быть как общечеловеческими (красота, истина, справедливость, любовь), так и конкретно-историческими (патриархат, демократия, равенство). Этносными ценностями являются обычаи и святыни, общезначимыми называются ценности, не препятствующие гражданам жить так, как им хотелось бы (права и свободы). Социальные ценности, преломляясь через призму индивидуальной жизнедеятельности, входят в психологическую структуру личности в виде личностных ценностей, являющихся одним из источников мотивации поведения человека.


В ряде случаев опасности направлены именно на разрушение системы национальных ценностей. Так, задачей американизации и коммерциализации отечественной культуры является насаждение потребительской системы ценностей, чуждой российскому народу. Конечной целью этого процесса должно стать уничтожение национальной идентичности и самосознания россиян.


Безопасность достигается благодаря устойчивости, стабильности и живучести. При этом под устойчивостью обычно подразумевают способность систем нормально функционировать при различных возмущениях вследствие эластичности и резистентности; под стабильностью - совокупность устойчивости к широкому диапазону продолжительно действующих возмущающих факторов; под живучестью - способность систем сохранять рациональную структуру и функционирование в условиях целенаправленного противодействия.

Безопасность и жизнедеятельность

Говоря о безопасности человека, нужно связать понятие «безопасность» с другим понятием -«жизнедеятельность». Деятельность - это специфическая форма отношений человека к окружающему миру. Она является необходимым условием существования человека, общества и государства, поскольку в ней происходит удовлетворение физиологических, социальных и иных потребностей. Таким образом, жизнедеятельность - повседневная деятельность, способ существования человека.


В. В. Сапронов определяет жизнедеятельность как процесс преобразования человеком вещества, энергии и информации в себе и в окружающей среде.


Поскольку жизнедеятельность людей осуществляется в различных сферах, выделяют несколько видов (или сфер) безопасности.


Можно сказать, что безопасность является конечной целью жизнедеятельности. Парадоксально, но жизнедеятельность, в свою очередь, часто становится источником опасностей.


Среде, преобразованной жизнедеятельностью, свойственны различные опасности. В частности, при решении проблем безопасности в настоящее время необходимо учитывать угрозы, возникающие в техносфере.


Результаты жизнедеятельности по изменению социальных условий привели к изменению состава угроз личности и обществу, изменению форм естественной конкуренции между сообществами. Постоянная конкуренция между народами и государствами ведётся информационными, экономическими, политическими, в последнее время и террористическими средствами.


Опасности возникают и в результате собственных действий человека по защите. Например, убегая от преступника и не рассчитав свои силы, человек может получить травму. К числу опасностей, порождаемых собственной жизнедеятельностью, относятся опасности, вызванные нерациональным повседневным поведением - вредные привычки, инфекционные заболевания, нарушения обмена веществ и т.п.