Служба защиты информации: первые шаги

Владимир Безмалый

Информационная безопасность как система

Классификация информации

Категории защищаемой информации

Категорирование информации

Инвентаризация ресурсов

 

Проблему защиты информации сложно назвать надуманной. Со всех сторон мы слышим о взломах, вирусах, вредоносном программном обеспечении, атаках, угрозах, уязвимостях…

Информационная безопасность как система

Информационная безопасность — комплекс мер, среди которых нельзя выделить более важные. Информационную безопасность нельзя воспринимать иначе как комплекс. Здесь важно все! Нужно соблюдать меры защиты во всех точках сети, при любой работе любых субъектов с вашей информацией (под субъектом в данном случае понимается пользователь системы, процесс, компьютер или программное обеспечение для обработки информации). Каждый информационный ресурс, будь то компьютер пользователя, сервер организации или сетевое оборудование, должен быть защищен от всевозможных угроз. Защищены должны быть файловые системы, сеть и т.д. Способы реализации защиты мы в этой статье рассматривать не будем ввиду их огромного разнообразия.

Однако следует понимать, что обеспечить стопроцентную защиту невозможно. Вместе с тем нужно помнить: чем выше уровень защищенности, тем дороже система, тем более неудобной в использовании она получается для пользователя, что соответственно ведет к ухудшению защиты от человеческого фактора. Как пример вспомним, что чрезмерное усложнение пароля ведет к тому, что пользователь вынужден записывать его на бумажку, которую приклеивает к монитору, клавиатуре и пр.

Существует широкий спектр программного обеспечения, направленного на решение задач защиты информации. Это антивирусные программы, брандмауэры, встроенные средства операционных систем и многое другое. Однако стоит помнить, что самым уязвимым звеном в защите всегда остается человек! Ведь работоспособность любого программного обеспечения зависит от качества его написания и грамотности администратора, который настраивает то или иное средство защиты.

Многие организации в связи с этим создают службы (отделы) защиты информации или ставят соответствующие задачи перед своими ИТ-отделами. Вместе с тем нужно понимать, что нельзя взваливать на службу ИТ несвойственные ей функции. Об этом не раз уже говорилось и писалось. Итак, предположим, в вашей организации создан отдел информационной безопасности. Что делать дальше? С чего начать?

Начинать нужно с обучения сотрудников! И в дальнейшем сделать этот процесс регулярным. Обучение персонала основам защиты информации должно стать постоянной задачей отдела защиты информации. И делать это нужно не реже двух раз в год.

Многие руководители пытаются сразу же получить от отдела защиты информации документ под названием «Политика безопасности организации». Правильно ли это? На мой взгляд — нет. Перед тем как вы сядете писать этот огромный труд, вам нужно определиться со следующими вопросами:

  • какую информацию вы обрабатываете?
  • как ее классифицировать по свойствам?
  • какими ресурсами вы обладаете?
  • как распределена обработка информации по ресурсам?
  • как классифицировать ресурсы?

Классификация информации

Исторически сложилось так, что как только поднимается вопрос о классификации информации (в первую очередь это относится к информации, принадлежащей государству), ее сразу же начинают классифицировать по уровню секретности (конфиденциальности). О требованиях по обеспечению доступности, целостности, наблюдаемости если и вспоминают, то вскользь, в ряду общих требований к системам обработки информации.

Если такой взгляд еще можно как-то оправдать необходимостью обеспечения государственной тайны, то перенос его в другую предметную область выглядит просто нелепо. Например, согласно требованиям украинского законодательства, собственник информации сам определяет уровень ее конфиденциальности (в случае, если эта информация не принадлежит государству).

Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой невелик, важнейшими могут быть такие свойства, как доступность, целостность или защищенность от неправомерного копирования. Рассмотрим в качестве примера веб-сайт интернет-издания. На первом месте будет стоять, на мой взгляд, доступность и целостность информации, а не ее конфиденциальность. Оценивать и классифицировать информацию только с позиции и секретности по меньшей мере непродуктивно.

И объяснить это можно только узостью традиционного подхода к защите информации, отсутствием опыта в плане обеспечения доступности, целостности и наблюдаемости информации, которая не является секретной (конфиденциальной).

Категории защищаемой информации

Исходя из необходимости обеспечения различных уровней защиты информации (не содержащих сведений, составляющих государственную тайну), хранимой и обрабатываемой в организации, назовем несколько категорий конфиденциальности и целостности защищаемой информации.

 

Категории конфиденциальности защищаемой информации

  • совершенно конфиденциально — информация, признанная конфиденциальной в соответствии с требованиями закона, или информация, ограничение на распространение которой введено решением руководства вследствие того, что ее разглашение может привести к тяжелым финансово-экономическим последствиям для организации вплоть до банкротства;
  • конфиденциально — в данную категорию входит информация, не отнесенная к категории «совершенно конфиденциально», ограничения на распространение которой введены решением руководства в соответствии с предоставленными ему как собственнику информации действующим законодательством правами вследствие того, что ее разглашение может привести к значительным убыткам и утрате конкурентоспособности организации (нанесению существенного ущерба интересам его клиентов, партнеров или сотрудников);
  • открытая — к данной категории относится информация, обеспечение конфиденциальности которой не требуется.

 

Категории целостности защищаемой информации

  • высокая — информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба организации;
  • низкая — к данной категории относится информация, несанкционированная модификация которой может привести к нанесению незначительного ущерба организации, ее клиентам, партнерам или сотрудникам;
  • нет требований — к данной категории относится информация, к обеспечению целостности и аутентичности которой требований не предъявляется.

 

Категории функциональных задач

По степени доступности введем четыре категории в зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения:

  • реальное время — доступ к задаче должен обеспечиваться в любое время;
  • час — доступ к задаче должен осуществляться без существенных временных задержек (задача решается каждый день, задержка не превышает несколько часов);
  • день — доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней);
  • неделя — временные задержки при доступе к задаче не установлены (период решения задачи составляет несколько недель или месяцев, допустимая задержка получения результата — несколько недель).

Категорирование информации

Категорирование информации состоит из нескольких этапов:

  1. Категорирование всех видов информации, используемой при решении задач на конкретных компьютерах (установка категорий конфиденциальности, целостности и доступности конкретных видов информации).
  2. Категорирование всех задач, которые решаются на данном компьютере.
  3. Исходя из максимальных категорий обрабатываемой информации устанавливается категория компьютера, на котором она обрабатывается.

После категорирования информации необходимо провести инвентаризацию ресурсов.

Инвентаризация ресурсов

Прежде чем говорить о защите информации в организации, нужно понять, что вы собираетесь защищать и какими ресурсами обладаете. Для этого необходимо провести работы по инвентаризации и анализу всех ресурсов автоматизированной системы организации, подлежащих защите:

  1. Для проведения инвентаризации и категорирования ресурсов, подлежащих защите, формируется специальная рабочая группа. В ее состав включаются специалисты подразделения компьютерной безопасности и других подразделений организации, которые могут оказать помощь при рассмотрении вопросов технологии автоматизированной обработки информации в организации.
  2. Для того чтобы созданная группа обладала необходимым организационно-правовым статусом, издается соответствующее распоряжение руководства организации, в котором указывается, что все руководители соответствующих подразделений организации должны оказывать содействие и необходимую помощь рабочей группе в анализе ресурсов всех компьютеров.
  3. Для оказания помощи на время работы группы в подразделениях их руководителями должны выделяться сотрудники, владеющие детальной информацией по вопросам автоматизированной обработки информации в данных подразделениях.
  4. Данное распоряжение доводится под роспись всем руководителям соответствующих подразделений.
  5. В ходе обследования (анализа) организации и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с применением компьютеров, а также все виды информации, используемые для решения этих задач в подразделениях.
  6. По окончании обследования составляется формуляр задач, решаемых в организации. Следует понимать, что одна и та же задача в разных подразделениях может называться по-разному и, наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств, применяемых при решении функциональных задач подразделения.

Следует учесть, что в ходе обследования выявляются все виды информации (входящая, исходящая, хранимая, обрабатываемая и т.д.). Необходимо учитывать, что выявлять необходимо не только конфиденциальную информацию, но и ту, нарушение целостности или доступности которой может нанести ощутимый ущерб организации.

При анализе информации, обрабатываемой в организации, необходимо оценивать серьезность последствий, которые могут быть вызваны нарушением ее свойств. Для этого нужно проводить опросы (тестирование, анкетирование) работающих с ней специалистов. При этом в первую очередь стоит выяснить, кому выгодно незаконно использовать или воздействовать на эту информацию. Если не получается провести количественную оценку возможного ущерба, следует дать ему качественную оценку (низкий, высокий, очень высокий).

Для понимания категорий доступности при анализе задач, решаемых в организации, необходимо выявлять максимально допустимое время задержки результатов, периодичность их решения и серьезность последствий при нарушении их доступности (блокировании задач).

В ходе анализа каждый из видов информации должен быть отнесен к определенной степени (грифу) конфиденциальности (на основании требований действующего законодательства и предоставленных организации прав).

При этом для оценки категории конфиденциальности конкретных видов информации у руководителей (ведущих специалистов) структурного подразделения выясняются личные оценки вероятного ущерба от нарушения свойств конфиденциальности и целостности информации.

По окончании анализа составляется «Список информационных ресурсов, подлежащих защите».

Затем данный список согласовывается с руководителями отделов подразделений ИТ и компьютерной безопасности и выдвигается на рассмотрение руководства организации.

По окончании данного этапа необходимо провести категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных со службой ИТ, категорируются (в плане доступности) все прикладные задачи, решаемые в подразделениях.

Информация о категориях прикладных задач заносится в формуляры задач. Следует учесть, что нельзя проводить категорирование системных задач и программных средств вне привязки к конкретным компьютерам и прикладным задачам.

В дальнейшем с помощью специалистов службы ИТ и подразделения защиты информации необходимо уточнить состав ресурсов (информационных, программных) каждой задачи и внести в формуляр (конкретной задачи) сведения по группам пользователей данной задачи и указания по настройке применяемых при ее решении средств защиты (например, полномочия доступа групп пользователей к перечисленным ресурсам задачи). В дальнейшем на основании этих сведений будет производиться настройка средств защиты компьютеров, на которых будет решаться данная задача.

На следующем этапе происходит категорирование компьютеров. Категория компьютера устанавливается исходя из максимальной категории задач, решаемых на нем, и максимальных категорий конфиденциальности и целостности информации, используемой при решении этих задач. Информация о категории компьютера заносится в его формуляр.

В понятие инвентаризации ресурсов входит не только сверка имеющихся активных и пассивных сетевых ресурсов со списком оборудования (и его комплектности), закупленного организацией. Эта процедура реализуется с помощью соответствующего программного обеспечения, например Microsoft Sysytems Management Server. Сюда же можно отнести создание карты сети с описанием всех возможных точек подключения, составление списка используемого программного обеспечения, формирование фонда эталонов лицензионного программного обеспечения, используемого в организации, создание фонда алгоритмов и программ собственной разработки.

Следует учесть, что программное обеспечение может быть допущено к работе лишь после его проверки отделом защиты информации на соответствие поставленным задачам и отсутствие всевозможных закладок и «логических бомб».

В связи с этим хотелось бы отдельно упомянуть о тенденции к использованию в нашей стране программного кода Open Source. Не спорю, это обеспечивает существенную экономию ресурсов. Однако, на мой взгляд, в таком случае проблема безопасности становится вопросом доверия уже не только к разработчику системы, но и к вашему администратору. А если вспомнить, сколько он получает, то нетрудно сделать вывод, что купить ваши секреты в данном случае намного проще и дешевле, чем осуществлять прямую внешнюю атаку. Стоит напомнить и о том, что большую часть успешных атак осуществили инсайдеры, то есть свои же сотрудники компании.

На мой взгляд, применять свободно распространяемое программное обеспечение при наличии потенциальной возможности нанесения серьезного ущерба можно лишь в случае, если оно будет поставляться вам в откомпилированном виде и с цифровой подписью организации, гарантирующей отсутствие в нем логических бомб, всяческого рода закладок и «черных ходов». Причем организация-гарант должна нести материальную ответственность за свою гарантию, что, по-моему, невозможно. Однако выбор за вами.

После проверки эталонное программное обеспечение заносится в фонд алгоритмов и программ (эталонная копия должна сопровождаться файлом контрольной суммы, а лучше всего — электронной подписью разработчика). В дальнейшем при смене версий и появлении обновлений проверка программного обеспечения производится в обычном порядке.

В дальнейшем в формуляр каждого компьютера заносятся сведения об установленном программном обеспечении, дате установки, цели, решаемых с помощью данного обеспечения задачах, фамилии и подписи лица, производившего установку и настройку программ. После создания подобных формуляров служба информационной безопасности должна обеспечивать регулярную проверку соответствия реального положения формуляру.

Следующим этапом в построении службы защиты информации является анализ рисков организации, который должен стать основой для создания политики безопасности.

 

В начало В начало

КомпьютерПресс 9'2008

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует