 |
Административный уровень информационной безопасности
|
|
|
|
Административный уровень
Главная цель административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя нобходимые ресурсы и контролируя состояние дел. Основой программ является политика безопасности отражающая подход организации к защите своих информационных активов.
Информационная система организаций, и связанные с ней субъекты, интересы субъектов-сложная система для оценки и анализа которой применяют Объектно ориентированный подход, и понятие уровня детализации. С практической точки зрения политику безопасности целесообразно рассматривать на 3х уровнях детализации.
1. Верхний уровень – решение охватывающее организацию в целом: решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение этой программы.
2. Формирование цели, которые преследует организация в области информационной безопасности, определение общих направлений для достижения цели.
3. Обеспечение базы для соблюдения законов и правил.
4. Формулировка административных решений по вопросам реализации программы безопасности, которые затрагивают организацию в целом.
На верхнем уровне определяется управление защитными ресурсами и координация работы с этими ресурсами. Определение специального персонала для защиты систем и взаимодействия с другими организациями.
К среднему уровню относят вопросы касающиеся отдельных аспектов безопасности, но специфичны для различных эксплуатируемых организациях в системе.
Политика среднего уровня должна для каждого аспекта освещать следующие темы:
|
|
|
1. Описание аспекта (например доступ к международным сетям)
2. Область применения
3. Позиции организации по данному вопросу
4. Роли и обязанности
5. Законопослушность
6. Точки контакта
Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Чем подробнее правила,, чем более специфично они изложены, тем прозе поддерживать их выполнение, с помощью программно-технических средств.
После того, как сформулирована политика безопасности, приступают к составлению программы ее реализации и к самой реализации.
Контроль деятельности в области безопасности имеет двухсторонюю направленность, во первых необходимо гарантировать что действия организации не противоречат действующим законам. Во-вторых необходимо постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.
Политика информационной безопасности.
- набор законов, правил, практических рекомендаций и опытов определяющих управленческие и проектные решения в области защиты информации. На основе политики безопасности строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение информационной системы в определенных ситуациях.
При разработке и приведении в жизнь информационной безопасности целесообразно руководствоваться следующими принципами:
1. Невозможность миновать защитные средства – принцип невозможности означает, что все информационные потоки в защищаемую сеть и из нее должны проходить через средства защиты информации.
2. Усиление самого слабого звена – часто таким звеном оказывается не компьютер или программа, а пользователь. Тогда проблема обеспечения информационной безопасности приобретает не технический характер.
|
|
|
3. Недопустимость перехода в открытое состояние – означает, что при любых обстоятельствах система защиты информации либо полностью выполняет свои функции, либо должна полностью блокировать доступ.
4. Минимизация привелегий – данный принцип предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.
5. Разделение обязанностей – предполагает что распределение ролей и ответственности обеспечит предотвращение злонамеренных или неквалифицированных действий системного администратора (1 человек не может нарушить критически важной для организации процесс).
6. Многоуровневая защита – предписывает не полагаться на единственный защитный рубеж. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией – управление доступом, протоколирование и аудит.
7. Разнообразие защитных средств – рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и по возможности не совместимыми навыками преодоления средств защиты информации.
8. Простота и управляемость информационной системы – определяет возможность формального доказательства, корректность, реализация механизмов защиты. Только в простой и управляемой системе можно проверить согласованность конфигураций различных компонентов и осуществить централизованное администрирование.
9. Обеспечение всеобщей поддержки мер безопасности – носит не технический характер, рекомендуется изначально разработать комплекс мер направленный на обеспечение лояльности персонала, на постоянное практическое и теоретическое обучение.
Два вида политики безопасности: избирательная и полномочная.
Избирательная: основой избирательной политики является избирательное управление доступом: все субъекты и объекты системы должны быть идентифицированы, права доступа с субъекту\объекту определяется на основании некоторого правила. Свойство избирательности. Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа. Матрица доступа – наиболее простой подход к моделированию систем доступа.
|
|
|
Полномочная политика безопасности: основа полномочной политики составляет полномочное управление доступом: 1. Все субъекты и объекты должны быть однозначно идентифицированы.
2. Каждому объекту системы присваивается метка критичности, определяющая ценность содержащийся в нем информации.
3. Каждому субъекту присваивается уровень прозрачности, определяющий максимальное значение метки критичности объектов к которым субъект имеет доступ.
Основное назначение полномочной политики – регулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращения утечки информации с верхних уровней должностной иерархии в нижние, а так же блокирование возможного проникновения с нижних уровней в верхние. Ее применение в коммерческом секторе сдерживается по следующим причинам:
1. Отсутствие в коммерческих организациях четкой классификации хранимой и обрабатываемой информации.
2. Высокая стоимость реализации и большие накладные расходы.
Политика безопасности предполагает широкий спектр организационно-технических мероприятий. Приведем перечень основных:
1. Разработка и утверждение функциональных обязанностей должностных лиц службы информационной безопасности.
2. Внесение необходимых изменений и дополнений во все организационно-распорядительные документы по вопросам обеспечения безопасности и действиям в случае возникновения критических ситуаций.
3. Выявление наиболее вероятных угроз для данной информационной системы и уязвимых мест процесса обработки информации и каналов доступа к ней.
4. Организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией.
5. Контроль функционирования и управления используемыми средствами защиты информации.
6. Периодический анализ состояния и оценка эффективности мер защиты информации.
7. Рассмотрение и утверждение всех изменений в оборудовании информационной системы, проверка их на удовлетворение требованиям защиты и документальное отображение изменений. И т.д.
|
|
|
Перечислим ряд действий, которые значительно повышают степень защиты корпоративной сети без значительных финансовых затрат:
1. Тщательное наблюдение за персоналом (в особенности за низкооплачивыемыми работниками).
2. Незаметная проверка послужного списка нанимаемого работника.
3. Ознакомление нанимаемого сотрудника с документами описывающими политику организации в области информационной безопасности и получение расписки.
4. Изменение содержимого всех экранов для входа в систему таким образом, чтобы они отражали политику безопасности принятую на предприятии.
5. Повышение уровня физической защиты.
6. Минимизация риска компьютерных краж и заражения вирусами.
7. Признание за сотрудниками определенных прав при работе с компьютерами, например:
А. Организация досок объявлений.
Б. Соблюдение конфиденциальности электронной почты.
В. Разрешение использовать определенные компьютерные игры.
Сотрудники компании должны быть союзниками, а не противниками администратора системы в борьбе за безопасность данных!!!
Организационно-режимные меры базируются на законодательных и нормативных документах по безопасности информации и должны охватывать следующие основные пути сохранения информационных ресурсов:
1. Ограничение физического доступа к объектам обработки и хранения информации и реализацию режимных мер.
2. Ограничение возможности перехвата информации вследствии существования физических полей.
3. Ограничение доступа к информационным ресурсам и другим элементам обработки данных путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных.
4. Создание твердых копий на случай утраты массивов данных.
5. Проведение профилактических и других мер от внедрения вирусов.
По содержанию все организационные предприятия можно условно разделить на следующие группы:
1. Мероприятия осуществляемые при создании информационной системы
А. Разработка общего проекта системы и ее структурных элементов.
Б. Строительство или переоборудование сообщений.
В. Разработка математического, программного, информационного или лингвистического обеспечения.
Г. Монтаж и наладка оборудования.
Д. Испытание и прием системы.
Особое значение на данном этапе предается определению действительных возможностей механизмов защиты. Для чего целесообразно применить комплекс испытаний и нагрузок.
2. Мероприятия осуществляемые в процессе эксплуатации информационной системы.
|
|
|
А. Организация пропускного режима.
Б. Организация автоматизированной обработки информации.
В. Организация ведения протокола.
Г. Распределение реквизитов разграничения доступа.
Д. Контроль выполнения требований служебных инструкций.
3. Мероприятия общего характера:
А. Учет требований защиты при подборе кадров.
Б. Ликвидация пробелов в механизме защиты.
В. Планирование мероприятий защиты информации.
Г. Обучение персонала.
Д. Проведение занятий с привлечением ведущих организаций.
Е. Участие в семинарах и конференциях по проблемам безопасности информации.
Организация секретного делопроизводства.
При работе с важными документами следует выполнять следующие требования:
1. Строгий контроль за допуском персонала к секретным документам.
2. Назначение конкретных лиц из руководства и служащих фирмы организующих и контролирующих секретное делопроизводство, наделение их соответствующими полномочиями.
3. Разработка инструкций по работе с секретными документами и ознакомление соответствующих работников.
4. Контроль за принятием сотрудниками письменных обязательств о сохранении коммерческой тайны фирмы.
5. Введение системы материального и иного стимулирования служащих фирмы имеющих доступ к секретным сведениям.
6. Внедрение в повседневную практику механизмов и технологий защиты коммерческой тайны фирмы.
7. Личный контроль со стороны руководителя фирмы службы внутренней безопасности и секретного делопроизводства.
Различные приемы ведения секретного делопроизводства направленны на предотвращение утечки коммерческих секретов. Документы содержащие коммерческую тайну различаются по степени секретности и снабжаются соответствующим грифом.
| Составные части делопроизводства | Функции обеспечения безопасности информации при работе с документами | Способы выполнения |
| Документирование | 1. Предупреждение необоснованного изготовления документов 2. Предупреждение включения в документы избыточных конфиденциальных сведений. 3. Предупреждение необоснованного завышения степени секретности документов. 4. Предупреждение необоснованной рассылки. | 1. Определение перечня документов 2. Осуществление контроля за содержанием и степени секретности секретности документа 3. Определение реальной степени секретности сведений включенных в документ. 4. Осуществление контроля за размножением и рассылкой документов |
| Учет документов | Предупреждение утраты документов | 1. Обеспечение регистрации каждого документа и удобство его поиска 2. Осуществление контроля за местом нахождения док-та |
| Хранение документов | 1. Обеспечение сохранности документов | 1. Выделение специального оборудования, документов, исключающих доступ к ним посторонних лиц 2. Установление порядка доступа к личным делам 3. Осуществление контроля за своевременностью и правильностью формирования дел |
| Уничтожение документов | 1. Исключение из документооборота документов потерявших свою ценность | 1. Установление порядка подготовки документов для уничтожения 2. Обеспечение необходимых условий для уничтожения 3. Осуществление контроля за правильностью и своевременностью уничтожения документов |
| Проверка наличия документов | 1. Контроль наличия документов, выполнения требований их обработки, учета, исполнения и сдачи | 1. Установление порядка проведения проверок наличия документов и порядка их обработки. |
В рамках системы множество и разнообразие видов защиты информации определяется способами воздействия на дестабилизирующие факторы или порождающие их причины, на элементы информационной системы, защищаемую информацию и окружающую среду в направлении повышения показателей защищенности информации.
|
|
|
