Страница:
Результатом выполнения Концепции должно стать создание подсистемы обеспечения безопасности информации АС субъекта РФ, в полной мере отвечающей требованиям федеральных законов в области защиты информации. Концепция должна включать в себя следующие материалы:
• законодательные и нормативные акты Российской Федерации в области обеспечения безопасности информации, требованиям которых должна соответствовать АС субъекта РФ, в том числе перечень законодательных и нормативных документов, необходимых для реализации в АС субъекта РФ Федерального закона РФ «Об электронной цифровой подписи», рекомендации по совершенствованию существующей и разработке новой нормативно-правовой базы;
• результаты анализа АС субъекта РФ как объекта обеспечения безопасности информации, в том числе отличия существующей и усовершенствованной совокупностей информационно-телекоммуникационных средств, используемых для обработки информации в части категории обрабатываемой и хранящейся в ней информации, программно-технической среды, технологии обработки информации и информационных потоков, структуры связи и передачи данных, а также предложения по объемам информационных ресурсов, накапливаемых и хранящихся в АС различных уровней и относящихся исключительно к категории конфиденциальной информации; определение и обоснование принципов, целей и задач обеспечения безопасности информации;
• перечень объектов обеспечения безопасности информации, защищаемых технических и информационных ресурсов, возможных угроз защищаемым объектам, основных источников угроз и способов их реализации; описание моделей нарушителя с оценкой их актуальности и соответствия существующим и перспективным угрозам;
• рекомендации по развитию структуры подсистемы обеспечения безопасности информации и АС субъекта РФ в целом с учетом требований законодательных и нормативных актов РФ в области обеспечения безопасности информации;
• описание и обоснование структуры подсистемы обеспечения безопасности информации АС субъекта РФ с учетом утвержденной модели нарушителя, угроз конфиденциальности, достоверности целостности, сохранности и доступности информации, технологии ее поиска, сбора, накопления, обработки, хранения и передачи по каналам связи, а также обоснование требуемой для обеспечения функционирования данной подсистемы численности персонала;
• описание структуры построения программно-технической среды АС субъекта РФ и требования к ней, реализация которых позволит обеспечить юридическую значимость создаваемых в ней электронных документов; перечень организационно-технических мероприятий, реализация которых необходима для обеспечения возможности обработки конфиденциальной информации и придания юридической силы документам, создаваемым в АС субъекта РФ;
• обоснование показателей надежности подсистемы обеспечения безопасности информации, подсистемы связи и передачи данных, в том числе их основных компонент, в условиях возможного компьютерного нападения или вирусного заражения, а также определение путей их повышения; анализ влияния надежности программно-технических средств и технологии функционирования составных частей АС субъекта РФ на показатели надежности подсистемы обеспечения безопасности информации;
• описание комплекса мероприятий по обоснованию достоверности получаемой с помощью АС субъекта РФ информации;
• анализ имеющихся лицензий и сертификатов на все программно-технические средства АС субъекта РФ, выданных органами по сертификации и лицензированию, на предмет их достаточности и соответствия модели нарушителя;
• требования к безопасности информации в АС субъекта РФ, включающие в себя требования к уровню защиты от несанкционированного доступа;
• распределение задач (функций) между встроенными средствами защиты информации операционной системы, СУБД, прикладными программами и специальными средствами защиты информации при их взаимодействии по обеспечению безопасности информации, а также их достаточности и непротиворечивости;
• описание основных путей и этапов реализации Концепции;
• технико-экономическую оценку работ по реализации Концепции;
• описание состава подсистем, обеспечивающих защиту информации от нарушения ее целостности и достоверности, а также штатное функционирование программно-технических средств сбора, обработки, накопления, хранения, поиска и передачи информации в АС субъекта РФ;
• требования по исключению влияния внешней среды на защищаемые ресурсы АС субъекта РФ.
1.6. Российская специфика разработки политик безопасности
Глава 2
2.1. Подход компании IBM
2.1.1 Структура документов безопасности
• законодательные и нормативные акты Российской Федерации в области обеспечения безопасности информации, требованиям которых должна соответствовать АС субъекта РФ, в том числе перечень законодательных и нормативных документов, необходимых для реализации в АС субъекта РФ Федерального закона РФ «Об электронной цифровой подписи», рекомендации по совершенствованию существующей и разработке новой нормативно-правовой базы;
• результаты анализа АС субъекта РФ как объекта обеспечения безопасности информации, в том числе отличия существующей и усовершенствованной совокупностей информационно-телекоммуникационных средств, используемых для обработки информации в части категории обрабатываемой и хранящейся в ней информации, программно-технической среды, технологии обработки информации и информационных потоков, структуры связи и передачи данных, а также предложения по объемам информационных ресурсов, накапливаемых и хранящихся в АС различных уровней и относящихся исключительно к категории конфиденциальной информации; определение и обоснование принципов, целей и задач обеспечения безопасности информации;
• перечень объектов обеспечения безопасности информации, защищаемых технических и информационных ресурсов, возможных угроз защищаемым объектам, основных источников угроз и способов их реализации; описание моделей нарушителя с оценкой их актуальности и соответствия существующим и перспективным угрозам;
• рекомендации по развитию структуры подсистемы обеспечения безопасности информации и АС субъекта РФ в целом с учетом требований законодательных и нормативных актов РФ в области обеспечения безопасности информации;
• описание и обоснование структуры подсистемы обеспечения безопасности информации АС субъекта РФ с учетом утвержденной модели нарушителя, угроз конфиденциальности, достоверности целостности, сохранности и доступности информации, технологии ее поиска, сбора, накопления, обработки, хранения и передачи по каналам связи, а также обоснование требуемой для обеспечения функционирования данной подсистемы численности персонала;
• описание структуры построения программно-технической среды АС субъекта РФ и требования к ней, реализация которых позволит обеспечить юридическую значимость создаваемых в ней электронных документов; перечень организационно-технических мероприятий, реализация которых необходима для обеспечения возможности обработки конфиденциальной информации и придания юридической силы документам, создаваемым в АС субъекта РФ;
• обоснование показателей надежности подсистемы обеспечения безопасности информации, подсистемы связи и передачи данных, в том числе их основных компонент, в условиях возможного компьютерного нападения или вирусного заражения, а также определение путей их повышения; анализ влияния надежности программно-технических средств и технологии функционирования составных частей АС субъекта РФ на показатели надежности подсистемы обеспечения безопасности информации;
• описание комплекса мероприятий по обоснованию достоверности получаемой с помощью АС субъекта РФ информации;
• анализ имеющихся лицензий и сертификатов на все программно-технические средства АС субъекта РФ, выданных органами по сертификации и лицензированию, на предмет их достаточности и соответствия модели нарушителя;
• требования к безопасности информации в АС субъекта РФ, включающие в себя требования к уровню защиты от несанкционированного доступа;
• распределение задач (функций) между встроенными средствами защиты информации операционной системы, СУБД, прикладными программами и специальными средствами защиты информации при их взаимодействии по обеспечению безопасности информации, а также их достаточности и непротиворечивости;
• описание основных путей и этапов реализации Концепции;
• технико-экономическую оценку работ по реализации Концепции;
• описание состава подсистем, обеспечивающих защиту информации от нарушения ее целостности и достоверности, а также штатное функционирование программно-технических средств сбора, обработки, накопления, хранения, поиска и передачи информации в АС субъекта РФ;
• требования по исключению влияния внешней среды на защищаемые ресурсы АС субъекта РФ.
1.6. Российская специфика разработки политик безопасности
Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса о разработке политики информационной безопасности на современном предприятии связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого в дополнение к требованиям и рекомендациям стандартов[1], Конституции и федеральным законам[2], руководящим документам Гостехкомиссии (ФСТЭК) России приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике в соответствии с рекомендациями Федерального закона № 184-ФЗ «О техническом регулировании» методики международных стандартов, таких, как ISO 17799 (BS 7799), ISO 9001, ISO 15408, ISO 13335, BSI, CobiT, ITIL[3] и др., а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия.
Современные методики управления рисками позволяют в рамках политик безопасности отечественных компаний поставить и решить ряд задач перспективного стратегического развития.
Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.
Во-вторых, разработать политику безопасности и планы совершенствования корпоративной системы защиты информации с целью достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:
• обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
• выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
• определить функциональные отношения и зоны ответственности при взаимодействии подразделений и должностных лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;
• разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;
• обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
Решение названных задач политик безопасности открывает новые широкие возможности перед должностными лицами разного уровня.
Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции по действиям в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.
Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, помогут определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе связанный с разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.
В соответствии со ст. 20 Федерального закона «Об информации, информатизации и защите информации» целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.
Поэтому главной целью политик безопасности отечественных компаний является обеспечение устойчивого функционирования предприятия: предотвращение угроз его безопасности, защита законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ[4], обеспечение нормальной производственной деятельности всех подразделений объекта. Другая задача политик безопасности сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов[5].
Для этого необходимо:
• отнести информацию к категории ограниченного доступа (коммерческой тайне)[6];
• прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению нормального функционирования и развития ресурсов[7];
• создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба[8];
• создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании АС, а также пресечения посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности[9];
• создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц и тем самым ослабить негативное влияние последствий нарушения информационной безопасности[10].
При разработке политики безопасности можно использовать следующую модель (рис. 1.20), основанную на адаптации Общих критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология – методы защиты – критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью» и учитывает тенденции развития отечественной нормативной базы (в частности, документов Гостехкомиссии РФ) по вопросам защиты информации.
Рассматриваются следующие объективные факторы:
• угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
• уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;
• риск – фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери – прямые или косвенные).
Таким образом, для создания эффективных политик безопасности отечественных компаний предлагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданного критерия. Политику безопасности и соответствующую корпоративную систему защиты информации предстоит построить таким образом, чтобы достичь заданного уровня риска.
Предлагаемая методика разработки политики информационной безопасности современного предприятия позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.
В ходе работ должны быть установлены границы исследования. С этой целью необходимо выделить требующие оценки рисков ресурсы информационной системы. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные, а также в соответствии со ст. 2 Федерального закона «Об информации, информатизации и защите информации» информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Примерами внешних элементов являются сети связи (абз. 4 ст. 2 Федерального закона «О связи»), внешние сервисы и т. п.
При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения информационной безопасности.
Эта модель, в соответствии с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т. д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.
На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут рекомендации по проведению регулярных проверок эффективности системы защиты.
Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима информационной безопасности политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.
По завершении работ можно будет определить меру гарантии безопасности информационной среды, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает, что большую гарантию дает применение больших усилий при проведении оценки безопасности. Адекватность оценки основана на вовлечении в процесс оценки большего числа элементов информационной среды объекта; глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения; строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.
Важно помнить, что прежде чем внедрять какие-либо решения по защите информации, необходимо разработать политики безопасности, адекватные целям и задачам современного предприятия. В частности, политики безопасности должны описывать порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности окажется эффективной, если она будет надежно поддерживать выполнение правил политик безопасности, и наоборот. Этапы построения требуемых политик безопасности – это внесение в описание объекта автоматизации структуры ценностей, проведение анализа риска, определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации. При этом политики безопасности желательно оформить в виде отдельных документов и утвердить у руководства компании.
Современные методики управления рисками позволяют в рамках политик безопасности отечественных компаний поставить и решить ряд задач перспективного стратегического развития.
Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.
Во-вторых, разработать политику безопасности и планы совершенствования корпоративной системы защиты информации с целью достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:
• обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
• выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
• определить функциональные отношения и зоны ответственности при взаимодействии подразделений и должностных лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;
• разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;
• обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
Решение названных задач политик безопасности открывает новые широкие возможности перед должностными лицами разного уровня.
Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции по действиям в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.
Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, помогут определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе связанный с разглашением коммерческой тайны, следует руководствоваться положениями гл. 39 Трудового кодекса РФ.
В соответствии со ст. 20 Федерального закона «Об информации, информатизации и защите информации» целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.
Поэтому главной целью политик безопасности отечественных компаний является обеспечение устойчивого функционирования предприятия: предотвращение угроз его безопасности, защита законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ[4], обеспечение нормальной производственной деятельности всех подразделений объекта. Другая задача политик безопасности сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов[5].
Для этого необходимо:
• отнести информацию к категории ограниченного доступа (коммерческой тайне)[6];
• прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению нормального функционирования и развития ресурсов[7];
• создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба[8];
• создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании АС, а также пресечения посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности[9];
• создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц и тем самым ослабить негативное влияние последствий нарушения информационной безопасности[10].
При разработке политики безопасности можно использовать следующую модель (рис. 1.20), основанную на адаптации Общих критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология – методы защиты – критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью» и учитывает тенденции развития отечественной нормативной базы (в частности, документов Гостехкомиссии РФ) по вопросам защиты информации.
Рис. 1.20. Модель построения корпоративной системы защиты информацииПредставленная модель – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.
Рассматриваются следующие объективные факторы:
• угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
• уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;
• риск – фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери – прямые или косвенные).
Таким образом, для создания эффективных политик безопасности отечественных компаний предлагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданного критерия. Политику безопасности и соответствующую корпоративную систему защиты информации предстоит построить таким образом, чтобы достичь заданного уровня риска.
Предлагаемая методика разработки политики информационной безопасности современного предприятия позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.
В ходе работ должны быть установлены границы исследования. С этой целью необходимо выделить требующие оценки рисков ресурсы информационной системы. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные, а также в соответствии со ст. 2 Федерального закона «Об информации, информатизации и защите информации» информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Примерами внешних элементов являются сети связи (абз. 4 ст. 2 Федерального закона «О связи»), внешние сервисы и т. п.
При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения информационной безопасности.
Эта модель, в соответствии с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т. д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.
На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут рекомендации по проведению регулярных проверок эффективности системы защиты.
Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима информационной безопасности политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.
По завершении работ можно будет определить меру гарантии безопасности информационной среды, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает, что большую гарантию дает применение больших усилий при проведении оценки безопасности. Адекватность оценки основана на вовлечении в процесс оценки большего числа элементов информационной среды объекта; глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения; строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.
Важно помнить, что прежде чем внедрять какие-либо решения по защите информации, необходимо разработать политики безопасности, адекватные целям и задачам современного предприятия. В частности, политики безопасности должны описывать порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности окажется эффективной, если она будет надежно поддерживать выполнение правил политик безопасности, и наоборот. Этапы построения требуемых политик безопасности – это внесение в описание объекта автоматизации структуры ценностей, проведение анализа риска, определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации. При этом политики безопасности желательно оформить в виде отдельных документов и утвердить у руководства компании.
Глава 2
ЛУЧШИЕ ПРАКТИКИ СОЗДАНИЯ ПОЛИТИК БЕЗОПАСНОСТИ
В настоящее время сформировалась так называемая лучшая практика (best practices) политик информационной безопасности. Это прежде всего практика разработки политик, процедур, стандартов и руководств безопасности таких признанных технологических лидеров, как IBM, Sun Microsystems, Cisco Systems, Microsoft, Symantec, SANS и пр. Насколько эти практики и рекомендации могут быть полезны для разработки политик безопасности в отечественных компаниях? В данной главе мы попробуем разобраться в этом.
2.1. Подход компании IBM
По мнению специалистов IBM, разработка корпоративных руководящих документов в области безопасности должна начинаться с создания политики информационной безопасности. При этом рекомендуется использовать международный стандарт ISO 17799:2005 и рассматривать политику безопасности компании как составную часть процесса управления информационными рисками (см. рис. 2.1). Считается, что разработка политики безопасности относится к стратегическим задачам менеджмента компании, который способен адекватно оценить стоимость ее информационных активов и принять обоснованные решения по защите информации с учетом целей и задач бизнеса.
• определение информационных рисков компании, способных нанести максимальный ущерб, для разработки в дальнейшем процедур и мер по предупреждению их возникновения;
• разработка политики безопасности, которая описывает меры защиты информационных активов, адекватные целям и задачам бизнеса;
• принятие планов действий в чрезвычайных ситуациях для уменьшения ущерба в случаях, когда выбранные меры защиты не смогли предотвратить инциденты в области безопасности;
• оценка остаточных информационных рисков и принятие решения о дополнительных инвестициях в средства и меры безопасности. Решение принимает руководство на основе анализа остаточных рисков.
Рис. 2.1. Процесс разработки политики безопасности компанииКомпания IBM выделяет следующие основные этапы разработки политики безопасности:
• определение информационных рисков компании, способных нанести максимальный ущерб, для разработки в дальнейшем процедур и мер по предупреждению их возникновения;
• разработка политики безопасности, которая описывает меры защиты информационных активов, адекватные целям и задачам бизнеса;
• принятие планов действий в чрезвычайных ситуациях для уменьшения ущерба в случаях, когда выбранные меры защиты не смогли предотвратить инциденты в области безопасности;
• оценка остаточных информационных рисков и принятие решения о дополнительных инвестициях в средства и меры безопасности. Решение принимает руководство на основе анализа остаточных рисков.
2.1.1 Структура документов безопасности
Политика безопасности компании, с точки зрения IBM, должна содержать явный ответ на вопрос «Что требуется защитить?». Действительно, если руководство компании понимает, что необходимо защитить, какие информационные риски и угрозы информационным активам компании существуют, тогда можно приступать к созданию эффективной политики информационной безопасности. При этом политика безопасности является первым стратегическим документом, который необходимо создать и который содержит минимум технических деталей, будучи настолько статичным (неизменяемым), насколько возможно. Предполагается, что политика безопасности компании будет содержать:
• определение информационной безопасности с описанием позиции и намерений руководства компании по ее обеспечению;
• описание требований по безопасности, в которые входит:
– соответствие требованиям законодательства и контрактных обязательств;
– обучение вопросам информационной безопасности;
– предупреждение и обнаружение вирусных атак;
– планирование непрерывности бизнеса;
– определение ролей и обязанностей по различным аспектам общей программы информационной безопасности;
– описание требований и процесса отчетности по инцидентам, связанным с информационной безопасностью;
– описание процесса поддержки политики безопасности.
Компания IBM рекомендует выполнить следующие действия для разработки эффективной политики безопасности компании:
• анализ бизнес-стратегии компании и определение требований по информационной безопасности;
• анализ ИТ-стратегии, текущих проблем информационной безопасности и определение требований по информационной безопасности;
• создание политики безопасности, взаимно увязанной с бизнес– и ИТ-стратегиями.
В этом случае рекомендуемая структура руководящих документов по обеспечению информационной безопасности компании может быть представлена следующим образом (см. рис. 2.2).
В представлении IBM политики и стандарты безопасности создаются для:
• разработки правил и норм безопасности уровня компании;
• анализа информационных рисков и способов их уменьшения;
• формализации способов защиты, которые должны быть реализованы;
• определения ожиданий со стороны компании и сотрудников;
• четкого определения процедур безопасности, которым нужно следовать;
• обеспечения юридической поддержки в случае возникновения проблем в области безопасности.
• определение информационной безопасности с описанием позиции и намерений руководства компании по ее обеспечению;
• описание требований по безопасности, в которые входит:
– соответствие требованиям законодательства и контрактных обязательств;
– обучение вопросам информационной безопасности;
– предупреждение и обнаружение вирусных атак;
– планирование непрерывности бизнеса;
– определение ролей и обязанностей по различным аспектам общей программы информационной безопасности;
– описание требований и процесса отчетности по инцидентам, связанным с информационной безопасностью;
– описание процесса поддержки политики безопасности.
Компания IBM рекомендует выполнить следующие действия для разработки эффективной политики безопасности компании:
• анализ бизнес-стратегии компании и определение требований по информационной безопасности;
• анализ ИТ-стратегии, текущих проблем информационной безопасности и определение требований по информационной безопасности;
• создание политики безопасности, взаимно увязанной с бизнес– и ИТ-стратегиями.
В этом случае рекомендуемая структура руководящих документов по обеспечению информационной безопасности компании может быть представлена следующим образом (см. рис. 2.2).
Рис. 2.2. Структура руководящих документов безопасностиПосле создания корпоративной политики создается серия стандартов. Под стандартами IBM понимает документы, описывающие порядок применения корпоративной политики безопасности в терминах аутентификации, авторизации, идентификации, контроля доступа и т. д. Стандарты могут требовать частых изменений, так как на них оказывают влияние текущие угрозы и уязвимости информационных технологий.
В представлении IBM политики и стандарты безопасности создаются для:
• разработки правил и норм безопасности уровня компании;
• анализа информационных рисков и способов их уменьшения;
• формализации способов защиты, которые должны быть реализованы;
• определения ожиданий со стороны компании и сотрудников;
• четкого определения процедур безопасности, которым нужно следовать;
• обеспечения юридической поддержки в случае возникновения проблем в области безопасности.