К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации (предприятия, фирмы).

Главная цель мер административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности. Политика безопасности - это совокупность документированных решений, принимаемых руководством организации и направленных на обеспечение информационной безопасности. Политика безопасности отражает подход организации к защите своих информационных активов. Политику безопасности можно считать стратегией организации (предприятия, фирмы) в области информационной безопасности. Для выработки такой стратегии и претворения ее в жизнь необходимы, несомненно, политические решения, принимаемые на уровне высшего руководства фирмы.

На основе политики безопасности разрабатывается программа безопасности . Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения и т.д. На основе программы безопасности разрабатываются конкретные правила, инструкции, нормативы и рекомендации, касающиеся работы персонала по обеспечению информационной безопасности. Эти правила относятся к процедурному уровню защиты.

Таким образом, в организационном обеспечении информационной безопасности выделяются меры административного уровня (политика и программа безопасности) и меры процедурного уровня.

Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации:

 Верхний уровень, к которому относятся решения, затрагивающие организацию в целом

 Средний уровень, к которому относятся вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для разных видов систем обработки данных, используемых в организации

 Нижний уровень, вопросы которого касаются отдельных информационных сервисов, отдельных систем и подсистем обработки данных, используемых в организации.

Рассмотрим эти уровни подробно:

Верхний уровень.

К верхнему уровню относятся решения, затрагивающие организации в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации.

К таким решениям, в частности, может относиться:

 Решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности; назначение ответственных за выполнение программы

 Формулировка целей в области информационной безопасности; определение общих направлений в достижении этих целей. Цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности.



Например, если организации отвечает за поддержание критически важных баз данных, то на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажами или складским хозяйством, наиболее важным может оказаться актуальность информации (то есть отражение текущих цен и состояния дел), а также доступность этой информации максимальному числу потенциальных клиентов. Для предприятия, занимающегося разработкой военной техники, наибольшее значение может иметь обеспечение конфиденциальности информации.

 формулировка решений по управлению различными ресурсами обеспечения информационной безопасности, координации использования этих ресурсов различными подразделениями фирмы

 выделение специального персонала для обеспечения информационной безопасности

 вопросы организации взаимодействия с другими организациями, обеспечивающими или контролирующими режим безопасности

 определение обязанностей должностных лиц по выработке и реализации программ безопасности

 вопросы выработки системы поощрений (и наказаний) за обеспечение (нарушение) информационной безопасности

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

Основные положения политики безопасности предприятия (организации, фирмы) должны быть зафиксированы в документе , который подписывается, как правило, руководителем предприятия (организации). Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности, следующие разделы:

 вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности

 организационный, содержащий описание структурных подразделений, отвечающих за работы в области информационной безопасности

 штатный, характеризующий применяемые к персоналу меры безопасности

 раздел, посвященный вопросам физической защиты информации

 раздел, описывающий подход к управлению компьютерами и компьютерными сетями

 раздел, описывающий правила доступа к производственной информации

 раздел, характеризующий порядок разработки и сопровождения систем.

 раздел, описывающий меры, направление на обеспечение непрерывной работы организации

 юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству

Средний уровень

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важных для различных систем обработки данных, используемых в организации. К таким вопросам могут быть отнесены, например следующие:

 следует ли внедрять передовые, но недостаточно проверенные (в том числе точки зрения информационной безопасности) технологии?

 следует ли обеспечить доступ в Интернет с рабочих мест сотрудников?

 следует ли разрешать сотрудникам переносить данные с домашних компьютеров на рабочие, и наоборот?

 следует ли допускать использование неофициального программного обеспечения?

В документах, характеризующих политику безопасности среднего уровня, для каждого такого вопроса (аспекта) должны быть освещены следующие темы:

 описание аспекта

Например, для вопроса, касающегося применения неофициального программного обеспечения, необходимо определить, что именно понимается под неофициальным программным обеспечением (это может быть ПО, которое не было одобрено и/или закуплено на уровне организаций)

 область применения - объясняет, где, когда, как, по отношению к кому и к чему применяется данная политика безопасности.

Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций–субподрядчиков

 Позиция организации по данному вопросу

Например, в вопросе использования неофициального программного обеспечения позиция организации может быть сформулирована как полный запрет, либо как допущение использования такого ПО только после специальной приемки, и т.д. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте.

 роли и обязанности - информация о должностных лицах, ответственных за реализацию политики безопасности.

Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить; если же неофициальное программное обеспечение использовать нельзя, следует указать, кто следит за выполнением данного правила.

 законопослушность – общее описание запрещенных действий, и наказаний за них.

 точки контакта – информация о том, куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

Нижний уровень.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам, отдельным системам или подсистемам обработки данных.

Например, могут определяться общие правила доступа к информации, обрабатываемой системой расчета заработной платы; либо общие правила осуществления резервного копирования, и т.д.

Вопросы политики безопасности нижнего уровня являются более конкретными и специфичными, более тесно связаны с технической реализацией, чем вопросы верхних двух уровней. В то же время они являются настолько важными для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне.

Программа безопасности.

После того, как сформулирована политика безопасности, можно приступать к составлению программы безопасности, то есть выработке конкретных мер по реализации политики безопасности.

Обычно программа безопасности разделяется на 2 уровня:

 верхний, или центральный уровень, который охватывает всю организацию.

 нижний, или служебный, относящийся к отдельным услугам или группам однородных сервисов.

Программа верхнего уровня.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. Программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально поддерживаться и приниматься руководством, а так же иметь определенный штат и бюджет.

Основными целями и задачами программы верхнего уровня являются следующие :

 управление рисками, включая оценку рисков и выбор эффективных средств защиты (этот вопрос подробнее рассмотрен далее)

 координация деятельности в области информационной безопасности, пополнение и распределение ресурсов.

 стратегическое планирование. В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки обеспечения защиты информации. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.

 контроль деятельности в области информационной безопасности. Такой контроль имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. При этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

Некоторые вопросы управления рисками.

Управление рисками актуально только для тех организаций, информационные системы или обрабатываемые данные которых можно считать нестандартными.

Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа риска.

Управление рисками включает в себя два циклически чередующихся вида деятельности:

 Оценка (измерение) рисков

 Выбор эффективных и экономических средств защиты (нейтрализация рисков)

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей уязвимые места системы), а также величины возможного ущерба. Для оценки вероятности реализации угрозы исходят из соображений здравого смысла. При этом следует учитывать, что угрозы могут носить не только информационно - технологический характер. Ущерб информационной безопасности могут нанести пожары, прорывы водопроводов, обрыв кабелей электропитания, и даже захват здания террористами. Для каждой угрозы необходимо оценить вероятность ее осуществления (например, 1 – низкая, 2 – средняя, 3 – высокая). Далее для каждой угрозы необходимо оценить размер ущерба от нее, можно тоже по трехбалльной шкале. Для оценки риска можно просто перемножить вероятность осуществления угрозы на предполагаемый ущерб – получим 9 возможных значений рисков. Если какие – либо риски оказались недопустимо высокими, необходимо принять дополнительные меры защиты. Стоимость предполагаемых мер защиты также можно оценить по девятибалльной шкале, а затем сравнить с разницей между вычисленным и допустимым риском. Как правило, для уменьшения риска можно использовать различные меры, и необходимо выбрать наиболее эффективные.

Программа нижнего уровня

Цель программы нижнего уровня – обеспечить надежную и экономичную защиту конкретного сервиса или группы сервисов. На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т.д. Обычно за программу нижнего уровня отвечают администраторы сервисов.

Следует особо отметить, что вопросам обеспечения информационной безопасности должно уделяться внимание на всех этапах жизненного цикла информационного сервиса (информационной системы, программы обработки данных).

Так, например, прежде, чем приобретать новую программу, необходимо определить, каковы возможные последствия нарушения защиты информации, обрабатываемой данной программой; каким угрозам может подвергаться данная системы, оценить требования к средствам защиты. Следует также сформулировать требования к квалификации персонала, который будет обслуживать данную систему. После закупки, при установке и конфигурировании нового продукта, необходимо включить и должным образом настроить встроенные средства безопасности. В процессе эксплуатации следует проводить периодические проверки безопасности, так как если безопасность не поддерживать, она ослабевает.

Основные классы мер процедурного уровня.

Процедурные меры безопасности ориентированы на людей, а не на технические средства. Именно люди формируют режим информационной безопасности, и они же оказываются главной угрозой. Поэтому «человеческий фактор» заслуживает особого внимания.

На процедурном уровне можно выделить следующие классы мер:

 Управление персоналом

 Физическая защита

 Поддержание работоспособности системы

 Реагирование на нарушения режима безопасности

 Планирование восстановительных работ

Управление персоналом

Учет требований информационной безопасности начинается еще до приема на работу нового сотрудника – с составления описания должности. При этом следует придерживаться двух общих принципов при определении компьютерных привилегий:

Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс.

Например, можно искусственно «расщепить» пароль суперпользователя, сообщив одну его часть одному сотруднику, а вторую – другому. Тогда важные действия по администрированию ИС они смогут выполнить только вдвоем, что снизит вероятность ошибок и злоупотреблений.

Принцип минимизации привилегий требует, чтобы пользователям давались только те права, которые необходимы им для выполнения служебных обязанностей. Цель этого – уменьшить ущерб от случайных или умышленных некорректных действий.

Предварительное описание должности помогает оценить ее критичность с точки зрения информационной безопасности и определить, какие процедуры должны выполняться для проверки кандидата на должность, какое обучение должен пройти кандидат.

С того момента, когда новый сотрудник получает доступ к информационной системе, необходимо проводить администрирование его системного счета, протоколировать и анализировать выполняемые действия с целью выявления подозрительных ситуаций.

При увольнении сотрудника, особенно в случае конфликта между ним и администрацией, необходимо максимально оперативно лишить сотрудника его полномочий по доступу к информационной системе, принять его «компьютерное хозяйство».

Важной проблемой для обеспечения информационной безопасности является квалификация персонала, для поддержания которой необходимо регулярное обучение. Если сотрудник не знаком с политикой безопасности своей организации, он не может стремиться к достижению сформулированных в ней целей. Не зная мер безопасности, он не может их соблюдать. Напротив, если сотрудник знает, что его действия контролируются, он, возможно, воздержится от нарушений.

Физическая защита.

Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры, вычислительной техники, носителей информации. Обычно для этого используются инженерно- технические средства защиты, такие как охрана, замки, сейфы, датчики перемещения, противопожарные средства и т.д.

Поддержание работоспособности.

Для поддержания нормального функционирования информационных систем необходимо проведение ряда рутинных мероприятий:

 Поддержка пользователей, то есть консультирование и оказание помощи при решении различных проблем; при этом важно выявлять проблемы, связанные с информационной безопасностью

 Поддержка программного обеспечения – это, в первую очередь, отслеживание того, какое ПО установлено на компьютерах (если пользователи будут устанавливать программы по своему усмотрению, это может привести к заражению вирусами). В поддержку ПО входит также контроль за отсутствием неавторизованного изменения программы

Резервное копирование необходимо для восстановления программ и данных после аварий. При этом важно четко определить правила, по которым должно осуществляться резервное копирование

 Управление носителями подразумевает защиту носителей информации (дисков, дискет) как от несанкционированного доступа, так и от вредных воздействий окружающей среды

 Документирование – неотъемлемая часть информационной безопасности. В виде документов оформляется почти все – от политики безопасности до журнала учета носителей. При этом важно, чтобы документация отражала текущее положение дел, чтобы при необходимости ее можно было легко найти, а также чтобы она была защищена от несанкционированного доступа

 Регламентные работы (например, ремонтные) – очень серьезная угроза безопасности, так как во время их проведения к системе получают доступ посторонние сотрудники. Здесь очень важна квалификация и добросовестность этих сотрудников.

Реагирование на нарушения режима безопасности

Реакция на нарушения режима безопасности преследует следующие цели:

 Локализация инцидента и уменьшение наносимого вреда

 Выявление нарушителя

 Предупреждение повторных нарушений

В случае обнаружения нарушения режима безопасности действия необходимо предпринимать незамедлительно, поэтому очень важно, чтобы последовательность действий была спланирована заранее и отражена в документах. Все сотрудники должны знать, как поступать и к кому обращаться в случае выявления того или иного нарушения защиты, а также должны знать, какие последствия ждут их в случае нарушения ими правил информационной безопасности.

Планирование восстановительных работ

Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность функционирования хотя бы в минимальном объёме.

Процесс планирования восстановительных работ можно разделить на следующие этапы:

 Выявление наиболее важных функций организации. Следует понимать, что в случае аварии продолжение работ организации в полном объёме будет невозможно. Надо выявить самые важные функции, которые должны выполняться во что бы то ни стало.

 Определение ресурсов, необходимых для выполнения важнейших функций. Не все ресурсы связаны с компьютерами. Для выполнения функций организации важны также персонал, документация, здания, инженерные коммуникации.

 Определение перечня возможных аварий. При этом важно разработать “сценарий” аварии, понять, к каким последствиям они приведут.

 Разработка стратегии восстановительных работ. Стратегия восстановительных работ должна базироваться на наличных ресурсах и быть не слишком накладной для организации; должна предусматривать не только работы по устранению аварий, но и возвращение к нормальному функционированию.

 Подготовка к реализации выбранной стратегии, то есть выработка плана действий в случае аварии, а также меры по обеспечению дополнительными ресурсами, необходимыми в случае аварии.

 Проверка стратегии, которая заключается в анализе подготовленного плана, принятых и намеченных мер.

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации. Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Под политикой безопасности понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности . Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

    решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы; формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей; обеспечение базы для соблюдения законов и правил; формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики безопасности верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных , на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники , вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Политика безопасности среднего уровня должна для каждого аспекта освещать следующие темы:

1. Описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

2. Область применения. Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

3. Роли и обязанности . В документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

4. Законопослушность . Политика должна содержать общее описание запрещенных действий и наказаний за них.

5. Точки контакта . Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения , поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

    кто имеет право доступа к объектам, поддерживаемым сервисом? при каких условиях можно читать и модифицировать данные? как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы , можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей.

Программа безопасности

Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

· вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

· организационный, содержащий описание подразделений, комиссий, групп и т. д., отвечающих за работы в области информационной безопасности;

· классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

· штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т. п.);

· раздел, освещающий вопросы физической защиты;

· управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;

· раздел, описывающий правила разграничения доступа к производственной информации;

· раздел, характеризующий порядок разработки и сопровождения систем;

· раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

· юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

Чтобы понять и реализовать какую-либо программу, ее нужно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней - верхнего, или центрального, который охватывает всю организацию, и нижнего, или служебного, который относится к отдельным услугам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:

    управление рисками (оценка рисков, выбор эффективных средств защиты); координация деятельности в области информационной безопасности, пополнение и распределение ресурсов; стратегическое планирование; контроль деятельности в области информационной безопасности.

В рамках программы безопасности верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. При этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

Цель программы безопасности нижнего уровня - обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т. п. Обычно за программу нижнего уровня отвечают администраторы сервисов.

Синхронизация программы безопасности с жизненным циклом систем

Если синхронизировать программу безопасности нижнего уровня с жизненным циклом защищаемого сервиса, можно добиться большего эффекта с меньшими затратами. Добавить новую возможность к уже готовой системе на порядок сложнее, чем изначально спроектировать и реализовать ее.

В жизненном цикле информационного сервиса можно выделить следующие этапы:

1. Инициация . На данном этапе выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение, определяется, какими характеристиками и какой функциональностью он должен обладать, оцениваются финансовые и иные ограничения.

2. Закупка . Нужно окончательно сформулировать требования к защитным средствам нового сервиса, к компании, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, обслуживание, обучение персонала. Особое внимание должно уделяться вопросам совместимости нового сервиса с существующей конфигурацией. Нередко средства безопасности являются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации.

3. Установка . Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию. Полнота и комплексность тестирования могут служить гарантией безопасности эксплуатации в штатном режиме.

4. Эксплуатация . На данном этапе сервис не только работает и администрируется, но и подвергается модификациям. Для борьбы с эффектом медленных изменений приходится прибегать к периодическим проверкам безопасности сервиса. После значительных модификаций подобные проверки являются обязательными.

5. Выведение из эксплуатации . Происходит переход на новый сервис. Только в специфических случаях необходимо заботиться о физическом разрушении аппаратных компонентов, хранящих конфиденциальную информацию. При выведении данных из эксплуатации их обычно переносят на другую систему, архивируют, выбрасывают или уничтожают. При архивировании необходимо позаботиться о восстановимости данных.

Управление рисками

Управление рисками рассматривается на административном уровне ИБ, поскольку только руководство организации способно выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

Управление рисками, равно как и выработка собственной политики безопасности, актуально только для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков. Когда возможный ущерб неприемлемо велик, необходимо принять экономически оправданные меры защиты. Периодическая оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.

Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми). Следовательно, управление рисками включает в себя два вида деятельности , которые чередуются циклически:

    оценка (измерение) рисков; выбор эффективных и экономичных защитных средств (нейтрализация рисков).

По отношению к выявленным рискам возможны следующие действия:

    ликвидация риска (например, за счет устранения причины); уменьшение риска (например, за счет использования дополнительных защитных средств); принятие риска (и выработка плана действия в соответствующих условиях); переадресация риска (например, путем заключения страхового соглашения).

Процесс управления рисками можно разделить на следующие этапы:

Выбор анализируемых объектов и уровня детализации их рассмотрения. Выбор методологии оценки рисков. Идентификация активов. Анализ угроз и их последствий, выявление уязвимых мест в защите. Оценка рисков. Выбор защитных мер. Реализация и проверка выбранных мер. Оценка остаточного риска.

Управление рисками - процесс циклический. Риски нужно контролировать постоянно, периодически проводя их переоценку. Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС.

Выбор анализируемых объектов и уровня детализации их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки.

Очень важно выбрать разумную методологию оценки рисков . Целью оценки является получение ответа на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства стоит использовать. Управление рисками - типичная оптимизационная задача. Принципиальная трудность состоит в неточности исходных данных. В простейшем и вполне допустимом случае можно пользоваться трехбалльной шкалой.

При идентификации активов следует учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно сохранить в любом случае. Одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее использования. Эти сведения целесообразно нанести на карту ИС в качестве граней соответствующих объектов.

Информационной основой сколько-нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т. п.). К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение, и из каких узлов оно используется. Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним.

Анализ угроз и их последствий, выявление уязвимых мест в защите. Первый шаг в анализе угроз - их идентификация. Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Очевидно, для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.

Оценка рисков. После идентификации угрозы необходимо оценить вероятность ее осуществления (например, по трехбалльной шкале - низкая (1), средняя (2) и высокая (3) вероятность). Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Тяжесть ущерба также можно оценить по трехбалльной шкале.

Вполне допустимо применить такой метод, как умножение вероятности осуществления угрозы на предполагаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый - к среднему, два последних - к высокому, после чего появляется возможность снова привести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков.

Процедурный уровень обеспечения ИБ

На процедурном уровне можно выделить следующие классы мер:

    управление персоналом; физическая защита; поддержание работоспособности; реагирование на нарушения режима безопасности; планирование восстановительных работ.

Управление персоналом

Управление персоналом начинается с приема нового сотрудника на работу и даже раньше - с составления описания должности. Существует два общих принципа, которые следует иметь в виду:

    разделение обязанностей; минимизация привилегий.

Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс. Например, нежелательна ситуация, когда крупные платежи от имени организации выполняет один человек. Надежнее поручить одному сотруднику оформление заявок на подобные платежи, а другому - заверять эти заявки. Другой пример - процедурные ограничения действий суперпользователя. Можно искусственно "расщепить" пароль суперпользователя, сообщив первую его часть одному сотруднику, а вторую - другому. Тогда критически важные действия по администрированию ИС они смогут выполнить только вдвоем, что снижает вероятность ошибок и злоупотреблений.

Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа очевидно - уменьшить ущерб от случайных или умышленных некорректных действий.

Предварительное составление описания должности позволяет оценить ее критичность и спланировать процедуру проверки и отбора кандидатов. Когда кандидат определен, он, вероятно, должен пройти обучение; по крайней мере, его следует подробно ознакомить со служебными обязанностями, а также с нормами и процедурами информационной безопасности. Желательно, чтобы меры безопасности были им усвоены до вступления в должность и до заведения его системного счета с входным именем, паролем и привилегиями.

С момента заведения системного счета начинается его администрирование, а также протоколирование и анализ действий пользователя. Постепенно изменяется окружение, в котором работает пользователь, его служебные обязанности и т. п. Все это требует соответствующего изменения привилегий. Техническую сложность представляют временные перемещения пользователя, выполнение им обязанностей взамен сотрудника, ушедшего в отпуск, и иные обстоятельства, когда полномочия нужно сначала предоставить, а через некоторое время взять обратно.

Проблема обучения - одна из основных с точки зрения информационной безопасности. Если сотрудник не знаком с политикой безопасности своей организации, он не может стремиться к достижению сформулированных в ней целей. Напротив, если сотрудник знает, что его действия протоколируются, он, возможно, воздержится от нарушений.

Физическая защита

Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры, вычислительной техники, носителей данных.

Основной принцип физической защиты, соблюдение которого следует постоянно контролировать, формулируется как "непрерывность защиты в пространстве и времени". Ранее мы рассматривали понятие окна опасности. Для физической защиты таких окон быть не должно.

Существуют следующие направления физической защиты:

    физическое управление доступом; противопожарные меры; защита поддерживающей инфраструктуры; защита от перехвата данных; защита мобильных систем.

Перехват данных может осуществляться самыми разными способами. Злоумышленник может подсматривать за экраном монитора, читать пакеты, передаваемые по сети, производить анализ побочных электромагнитных излучений и наводок и т. д.

Поддержка программного обеспечения - одно из важнейших средств обеспечения целостности информации. Прежде всего, необходимо следить за тем, какое программное обеспечение установлено на компьютерах. Если пользователи будут устанавливать программы по своему усмотрению, это может привести к заражению вирусами , а также появлению утилит, действующих в обход защитных средств.

Второй аспект поддержки программного обеспечения - контроль за отсутствием неавторизованного изменения программ и прав доступа к ним. Сюда можно отнести поддержку эталонных копий программных систем. Обычно контроль достигается комбинированием средств физического и логического управления доступом, а также использованием утилит проверки и обеспечения целостности.

Лучший способ уменьшить количество ошибок в рутинной работе - максимально автоматизировать ее. Резервное копирование необходимо для восстановления программ и данных после аварий. Нужно также обеспечить сохранность копий.

Документирование - неотъемлемая часть информационной безопасности. В виде документов оформляется почти все - от политики безопасности до журнала учета носителей. К хранению одних документов (содержащих, например, анализ уязвимых мест системы и угроз) применимы требования обеспечения конфиденциальности, к другим, таким как план восстановления после аварий - требования целостности и доступности (в критической ситуации план необходимо найти и прочитать).

Регламентные работы - очень серьезная угроза безопасности. Сотрудник, осуществляющий регламентные работы, получает исключительный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия он совершает. Здесь на первый план выходит степень доверия к тем, кто выполняет работу .

Нередко требование локализации инцидента и уменьшения наносимого вреда вступает в конфликт с желанием выявить нарушителя. В политике безопасности организации приоритеты должны быть расставлены заранее. Поскольку, как показывает практика, выявить злоумышленника очень сложно, в первую очередь следует заботиться об уменьшении ущерба.

Планирование восстановительных работ

Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.

Меры информационной безопасности можно разделить на три группы, в зависимости от того, направлены ли они на предупреждение, обнаружение или ликвидацию последствий атак.

Процесс планирования восстановительных работ можно разделить на следующие этапы:

    выявление критически важных функций организации, установление приоритетов; идентификация ресурсов, необходимых для выполнения критически важных функций; определение перечня возможных аварий; разработка стратегии восстановительных работ; подготовка к реализации выбранной стратегии; проверка стратегии.

Планируя восстановительные работы, следует отдавать себе отчет в том, что полностью сохранить функционирование организации не всегда возможно. Необходимо выявить критически важные функции, без которых организация теряет свое лицо, и даже среди критичных функций расставить приоритеты, чтобы как можно быстрее и с минимальными затратами возобновить работу после аварии.

Программно-технический уровень обеспечения ИБ

Программно-технические меры , то есть меры, направленные на контроль компьютерных сущностей - оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности. Ущерб наносят в основном действия легальных пользователей, по отношению к которым процедурные регуляторы малоэффективны. Главные враги - некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.

Центральным для программно-технического уровня является понятие сервиса безопасности.

Следуя объектно-ориентированному подходу, при рассмотрении информационной системы с единичным уровнем детализации мы увидим совокупность предоставляемых ею информационных сервисов. Назовем их основными. Чтобы они могли функционировать и обладали требуемыми свойствами, необходимо несколько уровней дополнительных (вспомогательных) сервисов - от СУБД и мониторов транзакций до ядра операционной системы и оборудования.

К вспомогательным относятся следующие сервисы безопасности:

    идентификация и аутентификация; управление доступом; протоколирование и аудит; шифрование; контроль целостности; экранирование; анализ защищенности; обеспечение отказоустойчивости; обеспечение безопасного восстановления; туннелирование; управление.

Совокупность перечисленных выше сервисов безопасности будет называться полным набором. Считается, что его достаточно для построения надежной защиты на программно-техническом уровне при соблюдении целого ряда дополнительных условий (отсутствие уязвимых мест, безопасное администрирование и т. д.).

Для проведения классификации сервисов безопасности и определения их места в общей архитектуре меры безопасности можно разделить на следующие виды:

    превентивные, препятствующие нарушениям ИБ; меры обнаружения нарушений; локализующие, сужающие зону воздействия нарушений; меры по выявлению нарушителя; меры восстановления режима безопасности.

Вводятся ключевые понятия - политика безопасности и программа безопасности. Описывается структура соответствующих документов, меры по их разработке и сопровождению. Меры безопасности увязываются с этапами жизненного цикла информационных систем.

Основные понятия

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством о р ганизации.

Главная цель мер административного уровня - сформировать пр о грамму работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности , отражающая подход организации к защите своих информационных активов. Руково д ство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков , которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту програ м му выделяются ресурсы, назначаются ответственные, определяется пор я док контроля выполнения программы и т.п.

Термин "политика безопасности" является не совсем точным пер е водом английского словосочетания "security policy", однако в данном сл у чае калька лучше отражает смысл этого понятия, чем лингвистически б о лее верные "правила безопасности". Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области и н формационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.

Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин "security policy" в "Оранжевой книге" и в построенных на ее основе нормативных документах других стран).

ИС организации и связанные с ней интересы субъектов - это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в прим е ре и сделаем еще раз далее.

Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы . Эта карта , разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации , но и вид и мые грани объектов. Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространя е мый каркас какой-либо системы управления.

Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Пр и мерный список подобных решений может включать в себя следующие элементы:

  • решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
  • формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
  • обеспечение базы для соблюдения законов и правил;
  • формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области инфо р мационной безопасности формулируются в терминах целостности, д о ступности и конфиденциальности. Если организация отвечает за подде р жание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для орг а низации, занимающейся продажей компьютерной техники, вероятно, ва ж на актуальность информации о предоставляемых услугах и ценах и ее д о сту п ность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несан к ционированного доступа, то есть о конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального пе р сонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим бе з опасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты и с пользования сотрудниками своих домашних компьютеров). Возможна, о д нако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персон а ла.

Политика верхнего уровня имеет дело с тремя аспектами законоп о слушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контрол и ровать действия лиц, ответственных за выработку программы безопасн о сти. Наконец, необходимо обеспечить определенную степень исполн и тельности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум в о просов. Подобное вынесение целесообразно, когда оно сулит значител ь ную экономию средств или когда иначе поступить просто невозможно.

  • вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
  • организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
  • классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
  • штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
  • раздел, освещающий вопросы физической защиты ;
  • управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
  • раздел, описывающий правила разграничения доступа к производственной информации;
  • раздел, характеризующий порядок разработки и сопровождения систем;
  • раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
  • юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эк с плуатируемых организацией систем. Примеры таких вопросов - отношение к передовым (но, возможно, недостаточно проверенным) технологиям, д о ступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

Описание аспекта. Например, если рассмотреть применение польз о вателями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

Область применения. Следует определить, где, когда, как, по отн о шению к кому и чему применяется данная политика безопасности . Например, касается ли политика, связанная с использованием неофиц и ального программного обеспечения, организаций-субподрядчиков? Затр а гивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на произво д ственные машины?

Позиция организации по данному аспекту. Продолжая пример с н е официальным программным обеспечением, можно представить себе поз и ции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их пер е чень), в разных организациях может сильно отличаться.

Роли и обязанности. В "политический" документ необходимо вкл ю чить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициальн о го программного обеспечения сотрудникам требуется разрешение рук о водства, должно быть известно, у кого и как его можно получить. Если н е официальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "то ч кой контакта" служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и пр а вила их достижения, поэтому ее порой трудно отделить от вопросов реал и зации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламент и ровать в рамках всей организации. В то же время, эти вещи настолько ва ж ны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Прив е дем несколько примеров вопросов, на которые следует дать ответ в пол и тике безопасности нижнего уровня:

  • кто имеет право доступа к объектам, поддерживаемым сервисом?
  • при каких условиях можно читать и модифицировать данные?
  • как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно п о ставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии по з волялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

Программа безопасности

После того, как сформулирована политика безопасности , можно приступать к составлению программы ее реализации и собственно к реал и зации.

Чтобы понять и реализовать какую-либо программу, ее нужно стру к турировать по уровням, обычно в соответствии со структурой организ а ции. В простейшем и самом распространенном случае достаточно двух уровней - верхнего, или центрального, который охватывает всю организ а цию, и нижнего, или служебного, который относится к отдельным услугам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за и н формационную безопасность организации. У этой программы следующие главные цели:

  • управление рисками (оценка рисков , выбор эффективных средств защиты);
  • координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;
  • стратегическое планирование ;
  • контроль деятельности в области информационной безопасности.

В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические н о винки. Информационные технологии развиваются очень быстро, и необх о димо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двусторо н нюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. При этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организ а ции, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

Следует подчеркнуть, что программа верхнего уровня должна зан и мать строго определенное место в деятельности организации, она должна официально приниматься и поддерживаться руководством, а также иметь определенный штат и бюджет.

Цель программы нижнего уровня - обеспечить надежную и экон о мичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие следует использовать механизмы защиты; з а купаются и устанавливаются технические средства; выполняется повс е дневное администрирование; отслеживается состояние слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы серв и сов.

Синхронизация программы безопасности с жизненным циклом систем

Если синхронизировать программу безопасности нижнего уровня с жизненным циклом защищаемого сервиса, можно добиться большего э ф фекта с меньшими затратами. Программисты знают, что добавить новую возможность к уже готовой системе на порядок сложнее, чем изначально спроектировать и реализовать ее. То же справедливо и для информацио н ной безопасности.

В жизненном цикле информационного сервиса можно выделить сл е дующие этапы:

Инициация . На данном этапе выявляется необходимость в приобр е тении нового сервиса, документируется его предполагаемое назначение.

Закупка .На данном этапе составляются спецификации, прорабат ы ваются варианты приобретения, выполняется собственно закупка .

Установка . Сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию .

Эксплуатация . На данном этапе сервис не только работает и админ и стрируется, но и подвергается модификациям.

Выведение из эксплуатации . Происходит переход на новый сервис.

Рассмотрим действия, выполняемые на каждом из этапов, более п о дробно.

На этапе инициации оформляется понимание того, что необходимо приобрести новый или значительно модернизировать существующий се р вис; определяется, какими характеристиками и какой функциональностью он должен обладать; оцениваются финансовые и иные ограничения.

С точки зрения безопасности важнейшим действием здесь является оценка критичности как самого сервиса, так и информации, которая с его помощью будет обрабатываться. Требуется сформулировать ответы на следующие вопросы:

  • какого рода информация предназначается для обслуживания новым сервисом?
  • каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?
  • каковы угрозы, по отношению к которым сервис и информация будут наиболее уязвимы?
  • есть ли какие-либо особенности нового сервиса (например, территориальная распределенность компонентов), требующие принятия специальных процедурных мер?
  • каковы характеристики персонала, имеющие отношение к безопасности (квалификация, благонадежность)?
  • каковы законодательные положения и внутренние правила, которым должен соответствовать новый сервис?

Результаты оценки критичности являются отправной точкой в с о ставлении спецификаций. Кроме того, они определяют ту меру внимания, которую служба безопасности организации должна уделять новому серв и су на последующих этапах его жизненного цикла .

Этап закупки - один из самых сложных. Нужно окончательно сфо р мулировать требования к защитным средствам нового сервиса, к комп а нии, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, о б служивание, обучение персонала. Разумеется, особое внимание должно уделяться вопросам совместимости нового сервиса с существующей ко н фигурацией. Подчеркнем также, что нередко средства безопасности явл я ются необязательными компонентами коммерческих продуктов, и нужно проследить, чтобы соответствующие пункты не выпали из спецификации.

Когда продукт закуплен, его необходимо установить . Несмотря на кажущуюся простоту, установка является очень ответственным делом. Во-первых, новый продукт следует сконфигурировать. Как правило, комме р ческие продукты поставляются с отключенными средствами безопасности; их необходимо включить и должным образом настроить. Для большой о р ганизации, где много пользователей и данных, начальная настройка может стать весьма трудоемким и ответственным делом.

Во-вторых, новый сервис нуждается в процедурных регуляторах. Следует позаботиться о чистоте и охране помещения, о документах, р е гламентирующих использование сервиса, о подготовке планов на случай экстренных ситуаций, об организации обучения пользователей и т.п.

После принятия перечисленных мер необходимо провести тестир о вание. Его полнота и комплексность могут служить гарантией безопасн о сти эксплуатации в штатном режиме.

Период эксплуатации - самый длительный и сложный. С психолог и ческой точки зрения наибольшую опасность в это время представляют н е значительные изменения в конфигурации сервиса, в поведении пользов а телей и администраторов. Если безопасность не поддерживать, она ослаб е вает. Пользователи не столь ревностно выполняют должностные инстру к ции, администраторы менее тщательно анализируют регистрационную и н формацию. То один, то другой пользователь получает дополнительные привилегии. Кажется, что в сущности ничего не изменилось; на самом же деле от былой безопасности не осталось и следа.

Для борьбы с эффектом медленных изменений приходится прибегать к периодическим проверкам безопасности сервиса. Разумеется, после зн а чительных модификаций подобные проверки являются обязательными.

При выведении из эксплуатации затрагиваются аппаратно-программные компоненты сервиса и обрабатываемые им данные. Аппар а тура продается, утилизируется или выбрасывается. Только в специфич е ских случаях необходимо заботиться о физическом разрушении аппара т ных компонентов, хранящих конфиденциальную информацию. Програ м мы, вероятно, просто стираются, если иное не предусмотрено лицензио н ным соглашением.

При выведении данных из эксплуатации их обычно переносят на другую систему, архивируют, выбрасывают или уничтожают. Если архивирование производится с намерением впоследствии прочитать данные в другом месте, следует позаботиться об аппаратно-программной совместимости средств чтения и записи. Информационные технологии развиваются очень быстро, и через несколько лет устройств, способных прочитать старый носитель, может просто не оказаться. Если данные архивируются в зашифрованном виде, необходимо сохранить ключ и средства расшифровки. При архивировании и хранении архивной информации нельзя забывать о поддержании конфиденциальности данных.

Основные понятия

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Термин "политика безопасности" является не совсем точным переводом английского словосочетания "security policy", однако в данном случае калька лучше отражает смысл этого понятия, чем лингвистически более верные "правила безопасности". Мы будем иметь в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.

Под политикой безопасности мы будем понимать совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

Такая трактовка, конечно, гораздо шире, чем набор правил разграничения доступа (именно это означал термин "security policy" в "Оранжевой книге" и в построенных на ее основе нормативных документах других стран).

ИС организации и связанные с ней интересы субъектов - это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня, что мы уже делали в примере и сделаем еще раз далее.

Чтобы рассматривать ИС предметно, с использованием актуальных данных, следует составить карту информационной системы. Эта карта, разумеется, должна быть изготовлена в объектно-ориентированном стиле, с возможностью варьировать не только уровень детализации, но и видимые грани объектов. Техническим средством составления, сопровождения и визуализации подобных карт может служить свободно распространяемый каркас какой-либо системы управления.



Политика безопасности

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

  • решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
  • формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
  • обеспечение базы для соблюдения законов и правил;
  • формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение числа потерь, повреждений или искажений данных. Для организации, занимающейся продажей компьютерной техники, вероятно, важна актуальность информации о предоставляемых услугах и ценах и ее доступность максимальному числу потенциальных покупателей. Руководство режимного предприятия в первую очередь заботится о защите от несанкционированного доступа, то есть о конфиденциальности.



На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов , выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня должна четко очерчивать сферу своего влияния. Возможно, это будут все компьютерные системы организации (или даже больше, если политика регламентирует некоторые аспекты использования сотрудниками своих домашних компьютеров). Возможна, однако, и такая ситуация, когда в сферу влияния включаются лишь наиболее важные системы.

В политике должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых , организация должна соблюдать существующие законы. Во-вторых , следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец , необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов . Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

  • вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
  • организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
  • классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
  • штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
  • раздел, освещающий вопросы физической защиты ;
  • управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
  • раздел, описывающий правила разграничения доступа к производственной информации;
  • раздел, характеризующий порядок разработки и сопровождения систем ;
  • раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
  • юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных эксплуатируемых организацией систем. Примеры таких вопросов - отношение к передовым (но, возможно, недостаточно проверенным) технологиям, доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз?), использование домашних компьютеров, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

Описание аспекта . Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как ПО, которое не было одобрено и/или закуплено на уровне организации.

Область применения . Следует определить, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли политика, связанная с использованием неофициального программного обеспечения, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

Позиция организации по данному аспекту . Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного ПО и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще стиль документов, определяющих политику безопасности (как и их перечень), в разных организациях может сильно отличаться.

Роли и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, ответственных за реализацию политики безопасности. Например, если для использования неофициального программного обеспечения сотрудникам требуется разрешение руководства, должно быть известно, у кого и как его можно получить. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

Законопослушность . Политика должна содержать общее описание запрещенных действий и наказаний за них.

Точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит определенное должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть определена более подробно. Есть много вещей, специфичных для отдельных видов услуг, которые нельзя единым образом регламентировать в рамках всей организации. В то же время, эти вещи настолько важны для обеспечения режима безопасности, что относящиеся к ним решения должны приниматься на управленческом, а не техническом уровне. Приведем несколько примеров вопросов, на которые следует дать ответ в политике безопасности нижнего уровня:

  • кто имеет право доступа к объектам, поддерживаемым сервисом?
  • при каких условиях можно читать и модифицировать данные?
  • как организован удаленный доступ к сервису?

При формулировке целей политики нижнего уровня можно исходить из соображений целостности, доступности и конфиденциальности, но нельзя на этом останавливаться. Ее цели должны быть более конкретными. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только сотрудникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем подробнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими средствами. С другой стороны, слишком жесткие правила могут мешать работе пользователей, вероятно, их придется часто пересматривать. Руководству предстоит найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а сотрудники не окажутся чрезмерно связаны. Обычно наиболее формально задаются права доступа к объектам ввиду особой важности данного вопроса.

Программа безопасности

После того, как сформулирована политика безопасности, можно приступать к составлению программы ее реализации и собственно к реализации.

Чтобы понять и реализовать какую-либо программу, ее нужно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней - верхнего, или центрального, который охватывает всю организацию, и нижнего, или служебного, который относится к отдельным услугам или группам однородных сервисов.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:

  • управление рисками (оценка рисков, выбор эффективных средств защиты);
  • координаци я деятельности в области информационной безопасности, пополнение и распределение ресурсов;
  • стратегическое планирование;
  • контроль деятельности в области информационной безопасности.

В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки . Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. При этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.

Следует подчеркнуть, что программа верхнего уровня должна занимать строго определенное место в деятельности организации, она должна официально приниматься и поддерживаться руководством, а также иметь определенный штат и бюджет .

Цель программы нижнего уровня - обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.