Служба защиты информации: первые шаги

Владимир Безмалый

Информационная безопасность как система

Классификация информации

Категории защищаемой информации

Категорирование информации

Инвентаризация ресурсов

Заключение

 

Проблему защиты информации сложно назвать надуманной. Повсюду мы слышим о взломах, вирусах, вредоносном программном обеспечении, атаках, угрозах, уязвимостях… И каждый раз нам приходится задумываться, а все ли сделано для нашей безопасности? Можем ли мы спать спокойно? Попробуем разобраться, с чего начинается работа службы информационной безопасности.

Информационная безопасность как система

Информационная безопасность — это комплекс мер, среди которых нельзя выделить более или менее важные. И иначе ее воспринимать нельзя. Здесь важно все! Меры защиты нужно соблюдать во всех точках сети, при работе любых субъектов с вашей информацией (под субъектом в данном случае понимается пользователь системы, процесс, компьютер или программное обеспечение для обработки информации). Каждый информационный ресурс, будь то компьютер пользователя, сервер организации или сетевое оборудование, должен быть защищен от всевозможных угроз. Защищены должны быть файловые системы, сеть и пр. Способы реализации защиты мы в этой статье рассматривать не будем из-за их огромного разнообразия.

Обеспечить стопроцентную защиту невозможно. Вместе с тем нужно понимать, что чем выше уровень защищенности, тем дороже система и тем более неудобной в использовании она становится для пользователя, что, естественно, ведет к ухудшению защиты вследствие влияния человеческого фактора. Например, чрезмерное усложнение пароля ведет к тому, что пользователи приклеивают стикеры с паролями к мониторам, клавиатуре и т.д. Стоит вспомнить и тот факт, что, по оценкам некоторых западных исследователей, до 45% времени служба поддержки пользователей затрачивает на восстановление утерянных пользователями паролей!

Существует огромное количество программного обеспечения, направленного на решение задач защиты информации: антивирусное ПО, брандмауэры, встроенные средства операционных систем и многое другое. Однако самым уязвимым звеном в защите является человек, ведь работоспособность любого программного обеспечения зависит от качества его написания, от грамотности администратора соответствующего средства защиты, от уровня дисциплинированности пользователей, которые работают с данным ПО. В связи с этим многие организации создают службы (отделы) защиты информации или ставят соответствующие задачи перед своими ИТ-отделами. Однако нельзя взваливать на ИТ-службу несвойственные ей функции. Об этом уже не раз говорилось. Ведь если вы поручите обеспечение защиты информации ИТ-отделу, то эти задачи будут выполняться либо в последнюю очередь, либо в ущерб основным его задачам. Причем все это произойдет лишь в том случае, если ваш ИТ-отдел понимает, что и как он должен делать.

Итак, предположим, что в вашей организации создан отдел информационной безопасности. Что делать дальше? С чего начать?

Начинать нужно с обучения сотрудников отдела информационной безопасности, и в дальнейшем сделать это регулярным процессом (они должны проходить обучение не реже двух раз в год). Обучение обычного персонала основам защиты информации является обязанностью отдела защиты информации, и его тоже нужно проводить не реже двух раз в год.

Многие руководители сразу же хотят получить от отдела защиты информации документ под названием «Политика безопасности организации». Правильно ли это? На мой взгляд — нет. Перед тем как вы приступите к написанию этого огромного труда, вам нужно ответить на следующие вопросы:

  • какую информацию вы обрабатываете?
  • как ее классифицировать по свойствам?
  • какими ресурсами вы обладаете?
  • как распределена обработка информации по ресурсам?
  • как классифицировать ресурсы?

Классификация информации

Исторически сложилось так, что, как только поднимается вопрос о классификации информации (в первую очередь это относится к информации, принадлежащей государству), ее сразу же начинают классифицировать по уровню секретности (конфиденциальности). При этом о требованиях по обеспечению доступности, целостности, наблюдаемости если и вспоминают, то вскользь, наряду с собщими требованиями к системам обработки информации.

Если такой подход еще можно как-то оправдать по отношению к государственной информации, то переносить его в другую предметную область просто нелепо.

Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой невелик, важнейшими свойствами являются такие, как доступность, целостность и защищенность от неправомерного копирования. Приведем в качестве примера веб-сайт интернет-издания, приоритетами для которого, на мой взгляд, будут доступность и целостность информации, а не ее конфиденциальность.

Если рассматривать и классифицировать информацию только с позиции секретности, это приведет к провалу. Основными причинами подобного поведения являются узость традиционного подхода к защите информации, отсутствие опыта в плане обеспечения доступности, целостности и наблюдаемости информации, которая не является секретной (конфиденциальной). Согласно требованиям законодательства, собственник информации сам определяет уровень ее конфиденциальности (в случае если эта информация не принадлежит государству).

Категории защищаемой информации

Исходя из необходимости обеспечения различных уровней защиты информации (не содержащих сведений, составляющих государственную тайну), хранимой и обрабатываемой в организации, введем несколько категорий конфиденциальности и несколько категорий целостности защищаемой информации.

 

Категории конфиденциальности

  • совершенно конфиденциально — информация, признанная конфиденциальной согласно требованиям законодательства, или информация, ограничения на распространение которой введены решением руководства и разглашение которой может привести к тяжелым финансово-экономическим последствиям для организации, вплоть до банкротства;
  • конфиденциально — к данной категории относится информация, не попавшая в категорию «совершенно конфиденциально», ограничения на распространение которой введены решением руководства в соответствии с предоставленными ему, как собственнику информации, действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению существенного ущерба интересам его клиентов, партнеров или сотрудников);
  • открытая — к данной категории относится информация, обеспечение конфиденциальности которой не требуется.

 

Категории целостности

  • высокая — информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба организации;
  • низкая — к данной категории относится информация, несанкционированная модификация которой может привести к нанесению незначительного ущерба организации, ее клиентам, партнерам или сотрудникам;
  • нет требований — к данной категории относится информация, к обеспечению целостности и аутентичности которой требований не предъявляется.

 

Категории доступности

По степени доступности введем четыре категории в зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения:

  • реальное время — доступ к задаче должен обеспечиваться в любое время;
  • час — доступ к задаче должен осуществляться без длительных временных задержек (задача решается каждый день, задержка не превышает нескольких часов);
  • день — доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней);
  • неделя — временные задержки при доступе к задаче не установлены (период решения задачи составляет несколько недель или месяцев, допустимая задержка получения результата — несколько недель).

Категорирование информации

Категорирование информации состоит из нескольких этапов:

  1. Категорирование всех видов информации, используемой при решении задач на конкретных компьютерах (установка категорий конфиденциальности, целостности и доступности конкретных видов информации).
  2. Категорирование всех задач, которые решаются на данном компьютере.
  3. Исходя из максимальных категорий обрабатываемой информации устанавливается категория компьютера, на котором она обрабатывается.

После категорирования информации необходимо провести инвентаризацию ресурсов.

Инвентаризация ресурсов

Прежде чем говорить о защите информации в организации, следует четко определить, что вы собираетесь защищать и какими ресурсами обладаете? Для этого необходимо провести работы по инвентаризации и анализу всех ресурсов автоматизированной системы организации, подлежащих защите. Для этого нужно выполнить следующие работы:

  1. Для проведения инвентаризации и категорирования ресурсов, подлежащих защите, формируется специальная рабочая группа. В нее включаются специалисты подразделения компьютерной безопасности и других подразделений организации, которые могут оказать помощь при рассмотрении вопросов технологии автоматизированной обработки информации в организации.
  2. Для того чтобы созданная группа обладала необходимым организационно-правовым статусом, издается соответствующее распоряжение руководства организации, в котором указывается, что все руководители соответствующих подразделений организации должны оказывать содействие и необходимую помощь рабочей группе в анализе ресурсов всех компьютеров.
  3. Для оказания помощи во время работы группы в подразделениях их руководители должны выделять сотрудников, владеющих детальной информацией по вопросам автоматизированной обработки информации в данных подразделениях.
  4. Данное распоряжение доводится до сведения (под роспись) руководителей всех подразделений.
  5. В ходе обследования (анализа) организации и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с помощью компьютеров, а также все виды информации, используемые для решения этих задач в подразделениях.
  6. По окончании обследования для каждой задачи, решаемой в организации, составляется формуляр. Следует понимать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот — различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств, применяемых при решении функциональных задач подразделения.

В ходе обследования выявляются все виды информации (входящая, исходящая, хранимая, обрабатываемая и т.д.). Необходимо учитывать не только конфиденциальную информацию, но и информацию, нарушение целостности или доступности которой может нанести ощутимый ущерб организации.

При анализе обрабатываемой в организации информации нужно оценивать серьезность последствий, к которым может привести нарушение ее свойств. Для этого необходимо проводить опросы (тестирование, анкетирование) специалистов, которые с ней работают. При этом следует выяснить, кому выгодно незаконно использовать эту информацию или воздействовать на нее. Если вы не можете дать количественную оценку возможного ущерба, проведите его качественную оценку (низкий, высокий, очень высокий).

Для понимания категорий доступности необходимо при анализе решаемых в организации задач выяснять максимально допустимое время задержки результатов, периодичность их решения и серьезность последствий при нарушении их доступности (блокировании задач).

В ходе анализа каждый из видов информации должен быть отнесен к определенной степени (грифу) конфиденциальности (на основании требований действующего законодательства и предоставленных организации прав). При этом для оценки категории конфиденциальности конкретных видов информации у руководителей (ведущих специалистов) структурного подразделения выясняются их личные оценки вероятного ущерба от нарушения свойств конфиденциальности и целостности информации.

По окончании анализа составляется «Список информационных ресурсов, подлежащих защите». Затем он согласовывается с руководителями отделов подразделений ИТ и компьютерной безопасности и выдвигается на рассмотрение руководства организации.

Далее необходимо провести категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных со службой ИТ, категорируются все прикладные задачи, решаемые в подразделениях. Информация о категориях прикладных задач заносится в формуляры задач. Следует учесть, что нельзя проводить категорирование системных задач и программных средств без привязки к конкретным компьютерам и прикладным задачам.

В дальнейшем с участием специалистов ИТ-службы и подразделения защиты информации необходимо уточнить состав ресурсов (информационных, программных) для каждой задачи и внести в формуляр конкретной задачи сведения по группам пользователей данной задачи и указания по настройке применяемых при ее решении средств защиты (например, полномочия доступа групп пользователей к перечисленным ресурсам задачи). В дальнейшем на основании этих сведений будет производиться настройка средств защиты компьютеров, на которых будет решаться данная задача.

На следующем этапе происходит категорирование компьютеров. Категория компьютера устанавливается исходя из максимальной категории задач, решаемых на нем, и максимальных категорий конфиденциальности и целостности информации, используемой при выполнении этих задач. Информация о категории компьютера заносится в его формуляр.

В понятие инвентаризации ресурсов входит не только сверка тех активных и пассивных сетевых ресурсов, которыми вы обладаете, со списком оборудования (и его комплектности), закупленного организацией (для этого можно использовать соответствующее программное обеспечение, например Microsoft Systems Management Server). Сюда же можно отнести создание карты сети с описанием всех возможных точек подключения, списка применяемого программного обеспечения, фонда эталонов лицензионного программного обеспечения, используемого в организации, и фонда алгоритмов и программ собственной разработки.

Следует учесть, что программное обеспечение может быть допущено к работе лишь после его проверки отделом защиты информации на соответствие поставленным задачам и отсутствие всевозможных закладок и «логических бомб».

В связи с этим хотелось бы отметить появившуюся в нашей стране тенденцию к использованию программного кода Open Source. Не спорю, это позволяет существенно сэкономить ресурсы. Однако, на мой взгляд, в таком случае вопрос безопасности становится вопросом доверия уже не только к разработчику системы, но и к вашему администратору. А если вспомнить, сколько зарабатывает ваш администратор, то нетрудно сделать вывод, что купить ваши секреты намного проще и дешевле, чем осуществлять прямую внешнюю атаку. Стоит упомянуть и о том, что большую часть успешных атак осуществили инсайдеры, то есть свои же служащие компании.

На мой взгляд, применять свободно распространяемое программное обеспечение можно лишь в случае, если оно будет поставляться вам в откомпилированном виде и с цифровой подписью организации, гарантирующей отсутствие в нем логических бомб, разного рода закладок и «черных ходов». Причем организация должна нести материальную ответственность за свою гарантию, что, на мой взгляд, невозможно. Однако выбор за вами.

После проверки эталонное программное обеспечение заносится в фонд алгоритмов и программ (эталонная копия должна сопровождаться файлом контрольной суммы, а лучше — электронной подписью разработчика). В дальнейшем при смене версий и появлении обновлений проверка программного обеспечения производится в установленном порядке.

В дальнейшем в формуляр каждого компьютера заносятся сведения об установленном программном обеспечении, дате его установки, целях, задачах, решаемых с его помощью, а также фамилии и подписи лиц, производивших установку и настройку программ. После создания подобных формуляров служба информационной безопасности должна обеспечивать регулярную проверку соответствия реального положения дел формуляру.

Особо хотелось бы рассмотреть такой непростой пункт, как «инвентаризация» персонала. Когда создавалась ваша организация, вовсе не факт, что на работу набирался персонал, понимающий, что и как нужно делать. Поэтому необходима проверка знаний и обучение персонала. Параллельно с проверкой знаний следует в обязательном порядке ознакомить под роспись персонал с соответствующими статьями Уголовного кодекса, чтобы в случае их нарушения сотрудники понимали, что они делают.

Следующим этапом в построении службы защиты информации является анализ рисков организации, определяющий политику безопасности.

Заключение

По окончании описанных работ вы получите исходные данные для написания политики безопасности, которая будет опираться на соответствующие международные стандарты.

 

В начало В начало

КомпьютерПресс 3'2008

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует