Все перечисленные позиции должны лечь в основу формирования системы защиты информации.

При обеспечении информационной безопасности существует два аспекта:

- формальный, связанный с определением критериев, которым должны соответствовать защищаемые информационные технологии;

- практический, характеризующий порядок определения конкретного комплекса мер безопасности применительно к рассматриваемой информационной технологии.

Критерии, которым должны соответствовать защищаемые информационные технологии, являются объектом стандартизации более пятнадцати лет. В настоящее время разработан проект международного стандарта «Общие критерии оценки безопасности информационных технологий».

Первой удачной попыткой стандартизации практических аспектов безопасности стал британский стандарт BS 7799 «Практические правила управления информационной безопасностью», изданный в 1995 году, в котором обобщен опыт обеспечения режима информационной безопасности в информационных системах разного профиля. Впоследствии было опубликовано несколько аналогичных документов: стандарты различных организаций и ведомств, например, германский стандарт BSI. Содержание этих документов в основном относится к этапу анализа рисков, на котором определяются угрозы безопасности и уязвимости информационных ресурсов, уточняются требования к режиму ИБ.

Несмотря на существенную разницу в методологии обеспечения базового и повышенного уровней безопасности, можно говорить о единой концепции ИБ.

Изложенные основные концептуальные положения являются основой механизма выработки детальных предложений по формированию политики и построению системы информационной безопасности.

Понятие политики безопасности

Политика безопасности – это формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и обработки информации (международный стандарт RFC 2196). Из практики известно, что правильная политика безопасности даже без выделенных средств защиты дает лучшие результаты, чем средства защиты без политики безопасности.

Политикой безопасности можно назвать и простые правила использования сетевых ресурсов (уровень руководителей), и детальные описания всех соединений и их особенностей, а также их реализация и конфигурирование (уровень инженерно-технического состава). В данном учебнике рассмотрена только зона ответственности руководителя в формировании политики безопасности, прежде всего, планирование защиты информационной системы (информационного объекта). Именно участие руководителя, а не только технических специалистов, в разработке политики безопасности позволяет учесть целесообразное и выверенное, с точки зрения конкретных функциональных обязанностей, распределение информации.

Любые действия по управлению сложными организационно-техническими системами должны быть спланированы. В полной мере это относится и к управлению информационной безопасностью.Планирование начинается после проведения анализа риска и выбора средств защиты информации в соответствии с ранжированием рисков.

На стадии планирования, если цель системы определена,определяется в известном смысле политика информационной безопасности, будущий образ действий и методы достижения целей,обеспечивается основа для последующих долгосрочных решений.

Планирование это процесс разработки пакета руководящих документов по реализации избранной политики информационной безопасности.

Принципиально план защиты включает в себя две группы мероприятий – мероприятия по построению (формированию) системы защиты информации и мероприятия по использованию сформированной системы для защиты информации.

Планирование - это начальный этап управления информационной безопасностью. После составления плана и реализации его первого этапа часто оказывается возможным и целесообразным внести коррективы в первоначальный план, осуществить так называемое перепланирование.

Цель планирования:

- координация деятельности соответствующих подразделений по обеспечению информационной безопасности,

- наилучшее использование всех выделенных ресурсов,

- предотвращение ошибочных действий, могущих привести к снижению вероятность достижения цели.

Различают два вида планирования: стратегическое или перспективное и тактическое или текущее (рис. 1).

Стратегическое планирование заключается в определении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности и процедуры их использования.

Тактическое планирование заключаетсяв определении промежуточных целей на пути достижения главных.При этом детальнопрорабатываются средства и способы решения задач, использования ресурсов, необходимые процедуры и технологии.

 

Рисунок 1. Виды планирования

Точную границу между стратегическим и тактическим планированием провести трудно. Обычно стратегическое планирование охватывает в несколько раз больший промежуток времени, чем тактическое; оно имеет гораздо более отдаленные последствия; шире влияет на функционирование управляемой системы в целом; требует более мощных ресурсов. Фактически стратегический план представляет собой системный проект, без которого тактические планы, реализуемые на разных отрезках времени (этапах) совершенствования системы, окажутся не взаимосвязанными, а значит мало эффективными или вовсе бессмысленными.

С тактическим планированием тесно связано понятие оперативного управления. Оперативное управление обеспечиваетфункционирование системы в соответствии с намеченным планом и заключается в периодическом или непрерывном сравнении фактически полученных результатов с намеченными планамии последующей их корректировкой.

Отклонения системы от намеченных планов могутоказаться такими, что дляэффективного достижения цели целесообразно произвестиперепланирование либо такой исход должен быть предусмотрен на стадии планирования.

Планирование включает в себя определение, разработку или выбор:

- конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;

- требований к системе защиты информации;

- средств и способов, функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;

- совокупности мероприятий защиты, проводимых в различные периоды времени;

- порядка ввода в действие средств защиты;

- ответственности персонала;

- порядка пересмотра плана и модернизации системы защиты;

- совокупности документов, регламентирующих деятельность по защите информации.

Цели защиты информации были определены ранее.

Задачи системы защиты объекта могут быть следующими:

- защита конфиденциальной информации от несанкционированного ознакомления и копирования;

- защита данных и программ от несанкционированной (случайной или умышленной) модификации;

- снижение потерь, вызванных разрушением данных и программ, в том числе и в результате вирусных воздействий;

- предотвращение возможности совершения финансовых преступлений при помощи средств вычислительной техники.

Для создания эффективной системы защиты, как правило, необходимо выполнение следующих основных требований:

- комплексность мер защиты, закрытие всего спектра угроз и реализация всех целей стратегии защиты;

- надежность средств, входящих в систему защиты;

- бесконфликтная совместная работа с используемым на объекте программным обеспечением;

- простота эксплуатации и поддержка работы администратора безопасности;

- возможность встраивания средств защиты в программное обеспечение, используемое на объекте;

- приемлемая стоимость.

Политика информационной безопасности определяет облик системы защиты информации - совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений по рациональному использованию вычислительных и коммуникационных ресурсов, направленных на противодействие угрозам с целью исключения (предотвращения) или минимизации возможных последствий проявления информационных воздействий.

Сформулированная политика информационной безопасности является результатом совместной деятельности технического персонала, способного понять все аспекты политики и ее реализации, и руководителей, способных влиять на проведение политики в жизнь.

Политика безопасности должна гарантировать, что для каждого вида проблем существует ответственный исполнитель. В связи с этим ключевым элементом политика безопасности является доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.

Требование учета стоимостных ограничений находит отражение в спецификациях средств реализации плана защиты информации. В них определяются общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности.

По времени проведения мероприятия защиты можно разделить на четыре класса:

- разовые;

- периодически проводимые;

- проводимые по необходимости;

- постоянно проводимые.

Но прежде чем обратиться к теории, надо навести элементарный порядок и наладить дисциплину в информационных службах предприятия.

Вы должны уметь четко ответить на вопросы:

- Сколько компьютеров (коммуникационного, вспомогательного оборудования) установлено на вашем предприятии? Сколько их сейчас, в данный момент, а не сколько их было вчера или месяц назад; сколько их на рабочих местах, сколько в ремонте, сколько в резерве.

- Вы сумеете узнать каждый компьютер «в лицо»?

- Обнаружите ли вы «маскарад» оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены, так что кажущееся рабочей лошадкой оборудование на самом деле является троянским конем?

- Какие задачи и с какой целью решаются на каждом компьютере?

- Уверены ли вы в необходимости каждой единицы контролируемого вами оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты и ждущего, чтобы на него обратил внимание какой-нибудь хакер из числа молодых и дерзких сотрудников? Ведь если от оборудования нет пользы, с точки зрения информационной безопасности от него можно ожидать только вреда.

- Каков порядок ремонта и технической профилактики компьютеров?

- Как проверяется оборудование, возвращаемое из ремонта, перед установкой на штатное рабочее место?

- Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования?

Список вопросов можно продолжить... Аналогичные вопросы можно задать и относительно программного обеспечения и персонала.

Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах, единодушно отмечают следующую особенность - реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы организации сменяется на резкое неприятие.

Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

- появление дополнительных ограничений для конечных пользователей и специалистов подразделений обеспечения, затрудняющие использование и эксплуатацию автоматизированной системы организации;

- необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.

- экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:

- принятие только организационных мер обеспечения безопасности информации в корпоративной сети (КС);

- использование только дополнительных технических средств защиты информации (ТСЗИ).

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются.

Во втором случае, приобретаются и устанавливаются дополнительные ТСЗИ. Применение ТСЗИ без соответствующей организационной поддержки также неэффективно в связи с тем, что без установленных правил обработки информации в КС применение любых ТСЗИ только усиливает существующий беспорядок. Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в сетях ЭВМ. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

Организационные меры:

- разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

- периодически проводимые (через определенное время) мероприятия;

- мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой КС или внешней среде (по необходимости);

- постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия:

- общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты КС;

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);

- мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);

- проведение спецпроверок всех применяемых в КС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

- разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;

- внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов КС и действиям в случае возникновения кризисных ситуаций;

- оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;

- определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

- мероприятия по созданию системы защиты КС и созданию инфраструктуры;

- мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием КС, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в КС; выявление наиболее вероятных угроз для данной КС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);

- организацию надежного пропускного режима;

- определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т. п.;

- организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

- определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);

- создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;

- определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.

⇐ Предыдущая12345678910Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: