Цифровое/Эфирное TV
Положение о категорировании ресурсов информационной банковской системы. Отдел защиты информации создан. Что дальше

Положение о категорировании ресурсов информационной банковской системы. Отдел защиты информации создан. Что дальше

Сегодня вряд ли удастся найти организацию, в которой никто и никогда не задумывался бы о защите информации. Вместе с тем не всегда можно встретить правильное понимание информационной безопасности как комплекса организационных и технических мероприятий. Важнейшим элементом ее обеспечения является человек, и он же - основной фактор ее нарушения.

Информационная безопасность должна восприниматься как комплекс организационно-технических мер, поскольку обеспечить конфиденциальность, целостность и доступность нельзя ни отдельно взятыми техническими мерами, ни только организационными.

Скажем, вы решили обеспечивать защиту только техническими мерами, при этом организационные документы у вас полностью отсутствуют. Так часто бывает, если защитой занимается отдел ИТ или начальник отдела информационной безопасности (ИБ) - бывший представитель ИТ-структур. Что в этом случае произойдет? Предположим, что один из сотрудников компании систематически передает конфиденциальную информацию по электронной почте конкурентам. Вы обнаружили утечку, но документов у вас нет, следовательно, наказать сотрудника (например, уволить его) вы просто не имеете права. А если вы это сделаете, умный злоумышленник подаст на вас в суд за нарушение его конституционных прав на личную переписку. Самое печальное в том, что юридически он будет абсолютно прав: внутри вашей организации не документировано, что вся информация, передаваемая средствами электронной почты с адресов, принадлежащих вашей организации, является собственностью фирмы.

Рассмотрим вторую крайность. Она, как правило, характерна для бывших военнослужащих и сотрудников спецслужб. У вас подготовлены великолепные документы, но абсолютно отсутствует их техническая поддержка. Что произойдет в таком случае? Ваши сотрудники рано или поздно нарушат положения организационных документов и, увидев, что их никто не контролирует, будут делать это систематически.

Таким образом, информационная безопасность - гибкая система, включающая в себя как организационные, так и технические меры. При этом нужно понимать, что здесь нельзя выделить более значимые меры или менее значимые. Важно всё. Нужно соблюдать меры защиты во всех точках сети, при работе любых субъектов с вашей информацией. (Под субъектом в данном случае понимается пользователь системы, процесс, компьютер или программное обеспечение для обработки информации). Каждый информационный ресурс, будь то компьютер пользователя или сервер организации, должен быть полностью защищен. Защищены должны быть файловые системы, сеть и т. д. Способы реализации мы здесь обсуждать не будем.

Существует огромное количество программного обеспечения, направленного на решение задачи защиты информации. Это и антивирусные программы, и сетевые экраны, и встроенные средства операционных систем. Однако самым уязвимым фактором всегда остается человек. Работоспособность любого программного обеспечения зависит от качества его написания, от грамотности администратора, который его настроил.

Многие организации в связи с этим создают отделы защиты информации или ставят задачи по обеспечению безопасности информации перед своими ИТ-отделами. Но не раз уже говорилось, что нельзя взваливать на ИТ-службу не свойственные ей функции. Предположим, что в вашей организации создан отдел ИТ-безопасности. Что делать дальше? С чего начинать его деятельность?

Первые шаги отдела ИБ

На мой взгляд, начинать нужно с обучения сотрудников! И в дальнейшем делать это не реже двух раз в год. Обучение обычного персонала основам защиты информации должно стать постоянным делом сотрудников отдела защиты информации!

Многие руководители пытаются сразу же получить от отдела защиты информации документ под названием «Политика безопасности». Это ошибка. Перед тем как вы сядете за написание этого серьезнейшего документа, который будет определять в дальнейшем все ваши усилия по обеспечению информационной безопасности вашей организации, нужно задать себе следующие вопросы:

Какую информацию вы обрабатываете?

Как ее классифицировать?

Какими ресурсами вы обладаете?

Как распределена обработка информации по ресурсам?

Как классифицировать ресурсы?

Постараемся ответить на эти вопросы.

Классификация информации

В нашей стране исторически сложился подход к классификации информации (в первую очередь государственной) по уровням требований к ее защищенности исходя из одного ее свойства - конфиденциальности (секретности).

Требования к обеспечению целостности и доступности информации, как правило, лишь косвенно упоминаются среди общих требований к системам обработки данных.

Если такой подход в какой-то степени оправдан для обеспечения безопасности информации, составляющей государственную тайну, то это не означает, что перенос его в другую предметную область (с другими субъектами и их интересами) будет правильным.

Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой несущественен, важнейшими являются совершенно другие свойства, скажем такие, как доступность, целостность или защищенность от неправомерного тиражирования. К примеру, для платежных (финансовых) документов самым важным является их целостность (достоверность). Затем следует свойство доступности (потеря платежного документа или задержка платежей может обходиться очень дорого). Требования к обеспечению конфиденциальности платежных документов, как правило, находятся на третьем месте.

Для сайта Internet-газеты на первом месте будет стоять доступность и целостность информации, а не ее конфиденциальность. Попытки подойти к решению вопросов защиты такой информации с позиций традиционного обеспечения только конфиденциальности, терпят провал. Основными причинами этого являются узость традиционного подхода к защите информации, отсутствие у отечественных специалистов опыта и соответствующих проработок в плане обеспечения целостности и доступности информации, не являющейся конфиденциальной.

Для усовершенствования классификации информации в зависимости от требований к ее защищенности следует ввести несколько степеней (градаций, категорий) требований по обеспечению каждого из свойств безопасности информации: доступности, целостности, конфиденциальности.

Количество градаций и вкладываемый в них смысл могут различаться.

Исходя из необходимости обеспечить различные уровни защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в организации, введем несколько категорий конфиденциальности и целостности защищаемой информации.

«Строго конфиденциальная» - информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайна, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации, вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам клиентов, корреспондентов, партнеров или сотрудников).

«Конфиденциальная» - информация, не отнесенная к категории «строго конфиденциальная», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам клиентов, корреспондентов, партнеров или сотрудников).

«Открытая» - информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

«Высокая» - к данной категории относится информация, несанкционированная модификация (искажение, подмена, уничтожение) или фальсификация (подделка) которой может привести к нанесению значительного прямого ущерба организации, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (средствами электронной цифровой подписи, ЭЦП) в соответствии с обязательными требованиями действующего законодательства, приказов, директив и других нормативных актов.

«Низкая» - к данной категории относится информация, несанкционированная модификация, подмена или удаление которой может привести к нанесению незначительного косвенного ущерба организации, ее клиентам, партнерам или сотрудникам, целостность которой должна обеспечиваться в соответствии с решением руководства (методами подсчета контрольных сумм, хеш-функций).

«Нет требований» - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

В зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов вводится четыре требуемых степени (категории) доступности информации.

«Беспрепятственная доступность» - доступ к задаче должен обеспечиваться в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут).

«Высокая доступность» - доступ должен осуществляться без существенных задержек по времени (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов).

«Средняя доступность» - доступ может обеспечиваться с существенными задержками по времени (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней).

«Низкая доступность» - задержки по времени при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата - несколько недель).

На первом этапе работ производится категорирование всех видов информации, используемой при решении задач на конкретном компьютере (установление категорий конфиденциальности и целостности конкретных видов информации). Составляется «Перечень информационных ресурсов, подлежащих защите».

На втором этапе происходит категорирование всех функциональных задач, решаемых на данном компьютере. В ходе третьего этапа устанавливается категория компьютера, исходя из максимальных категорий обрабатываемой информации и задач, решаемых на нем.

После того как вы распределили обрабатываемую у вас информацию по соответствующим категориям, следует провести инвентаризацию ресурсов.

Категорирование ресурсов подразумевает выявление (инвентаризацию) и анализ всех ресурсов информационной системы организации, подлежащих защите. Вот примерная последовательность и основное содержание этих работ.

Прежде всего для анализа всех подсистем информационной системы организации, инвентаризации и категорирования ресурсов, подлежащих защите, формируется специальная рабочая группа. В ее состав включаются специалисты (осведомленные в вопросах технологии автоматизированной обработки информации) подразделения компьютерной безопасности и других подразделений организации.

Издается распоряжение руководства организации, в котором, в частности, даются указания всем руководителям структурных подразделений оказывать содействие и помощь рабочей группе в проведении анализа ресурсов всех компьютеров.

Для оказания помощи должны выделяться сотрудники, владеющие детальной информацией по вопросам автоматизированной обработки информации в подразделениях.

В ходе обследования конкретных подразделений организации и подсистем информационной системы предприятия выявляются и описываются все функциональные задачи, решаемые с использованием компьютеров, а также все виды сведений, используемые при решении этих задач в подразделениях.

После этого составляется общий перечень функциональных задач и для каждой задачи оформляется формуляр. Следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно ведется учет программных средств, используемых при решении функциональных задач подразделения.

При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т. п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности или доступности может нанести ощутимый ущерб организации.

Выявляя все виды информации, циркулирующей и обрабатываемой в подсистемах, необходимо оценивать последствия, к которым могут привести нарушения ее свойств. Для получения первоначальных оценок целесообразно проводить опрос (например, в форме анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как можно на нее воздействовать или незаконно использовать, к каким последствиям это может привести.

Если невозможно количественно оценить вероятный ущерб, то дается его качественная оценка (например: очень низкая, низкая, средняя, высокая, очень высокая).

При составлении перечня и формуляров функциональных задач, решаемых в организации, необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач).

Все выявленные в ходе обследования виды информации заносятся в соответствующий документ.

Далее необходимо определить, к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставленных организации прав).

Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения (на основе их личных оценок вероятного ущерба вследствие нарушения свойств конфиденциальности и целостности информации). Затем перечень согласовывается с руководителями отделов подразделений автоматизации и компьютерной безопасности и выносится на рассмотрение руководства организации.

На следующем этапе происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных со службой ИТ, категорируются все прикладные функциональные задачи, решаемые в подразделениях с использованием компьютерной техники. Информация заносится в формуляры задач. Не следует проводить категорирование системных задач и программных средств вне привязки к конкретным компьютерам и прикладным задачам.

В дальнейшем с участием ИТ-специалистов и подразделения ИБ необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты. Эти данные будут использоваться в качестве эталона настроек средств защиты соответствующих компьютеров, а также для контроля правильности их установки.

На последнем этапе устанавливается категорирование компьютеров, исходя из максимальной категории специальных задач, решаемых на нем, и максимальных категорий конфиденциальности и целостности информации, используемой при решении этих задач. Информация о категории компьютера заносится в его формуляр.

В понятие инвентаризации ресурсов входит не только сверка активных и пассивных сетевых ресурсов, которыми вы обладаете, со списком оборудования (и его комплектности), закупленного организацией. Для сверки оборудования и его комплектности можно воспользоваться соответствующим программным обеспечением (например, Microsoft SMS Server) и т. п.

Сюда же можно отнести создание карты сети с описанием всех возможных точек подключения, составление списка используемого программного обеспечения, формирование фонда эталонов лицензионного программного обеспечения, используемого в организации, а также фонда алгоритмов и программ собственной разработки.

Следует учесть, что программное обеспечение может быть допущено к работе лишь после его проверки отделом защиты информации на соответствие поставленным задачам, отсутствие всевозможных закладок и «логических бомб».

Хотелось бы сказать о появившейся у нас тенденции к использованию приложений с открытыми кодами. Бесспорно, они приносят существенную экономию ресурсов. Однако, думается, в этом случае безопасность определяется доверием уже не только к разработчику системы, но и к вашему администратору. А если принять во внимание зарплату администратора, то нетрудно сделать вывод, что купить ваши секреты намного проще и дешевле, чем осуществлять прямую внешнюю атаку. Стоит упомянуть и о том, что большую часть успешных атак осуществили инсайдеры (служащие самой компании).

Думается, что применять свободно распространяемое ПО, если существует риск нанесения серьезного ущерба, можно лишь при условии, что оно будет поставляться вам в откомпилированном виде и с цифровой подписью организации, гарантирующей отсутствие логических бомб, всяческого рода закладок и «черных ходов». Причем организация-гарант должна нести материальную ответственность. Однако на сегодня такое предложение стоит отнести к разряду нереальных.

После проверки эталонное программное обеспечение заносится в фонд алгоритмов и программ (эталонная копия должна сопровождаться файлом контрольной суммы, а лучше - электронной подписью разработчика). В дальнейшем, при смене версий, появлении обновлений, проверка программного обеспечения производится установленным порядком.

В формуляр каждого компьютера заносятся сведения об установленном программном обеспечении, указывается дата установки, цели, решаемые с помощью данного ПО, задачи, ставится фамилия и подпись лица, производившего установку и настройку ПО. После создания подобных формуляров служба информационной безопасности должна обеспечивать регулярную проверку соответствия реального положения формуляру.

Следующим этапом в построении службы защиты информации должен стать анализ рисков организации, на основе которого будет создаваться политика безопасности.

Категорирование защищаемых ресурсов –установление градаций важности обеспечения защиты (категорий) ресурсов и отнесение конкретных ресурсов к соответствующим категориям.

Упрощенный алгоритм оценки защищенности объекта информатизации:

Инвентаризация информационных ресурсов и выявление защищаемой информации

Выявлениеисточников потенциально возможных угроз

Выявлениеуязвимыхзвеньев объекта информатизации

Составлениеперечня потенциально возможных угроз

Оценка возм-тиреализации и опасности угроз , составление перечня актуальных угроз

1. Если в файле имеется защищаемая информация , то весь файл подлежит защите и файлу присваивается соответствующий уровень важности;

2. с позиций обеспечения ее конфиденциальности полностью определяетсяприсвоенным ей грифом секретности или конфиденциальности. Для конфиденциальной информации гриф конфиденциальности определяется в зависимости от того, какой круг лиц имеет право ознакомления с ней, и определяется преимущественно пользователем;

3. Градация критичности информации с позиции обеспечения ее целостности или доступности определяется пользователем и зависит от уровня и приемлемости затрат (времени, трудовых ресурсов, финансовых средств) на восстановление целостности или доступности информации;

4. Исполняемые файлы прикладных программ, запуск которых обусловливает доступ к файлам с данными пользователя, имеют не меньшую важность с позиции обеспечения как целостности, так и их доступности, чем сами файлы с данными пользователя;

5. Файлы информации, нарушение целостности или доступности которых приводит к срыву работы ОС, имеют большую важность с позиции обеспечения их целостности или доступности, чем остальные хранящиеся в системе файлы;

6. Если в помещении хранится конфиденциальная информация или помещение выделено для конфиденциальных переговоров, то считается, что распространяемая в ходе разговоров должностных лиц или при передаче по линиям связи информация имеет высший уровень конфиденциальности, предусмотренный для данного помещения, то есть, возможна утечка информации с наибольшим уровнем критичности для данного помещения.

создание нормативно-методической основы для дифференц-го подхода к защ. ресурсов автоматиз. системы на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;

типизацию принимаемых организационных мер и распределения аппаратно-программных средств защиты ресурсов по АРМ АС организации и унификацию их настроек.

«высокая » - к данной категории относится несекретная информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства РФ (банковская тайна, персональные данные);

«низкая » - к данной категории относится конфиденциальная информация, не отнесенная к категории «высокая», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ей как собственнику информации действующим законодательством правами;

«нет требований » - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

«высокая » - к данной категории относится информация, несанкционированная модификация или фальсификация которой может привести к нанесению значительного прямого ущерба организации, ее клиентам и корреспондентам, целостность и аутентичность кот.должна обеспечиваться гарантированными методами в соответствии с обязательными требованиями действующего законодательства;

«низкая » - к данной категории относится инфа, несанкционированная модификация, удаление или фальсификация которой может привести к нанесению незначительного косвенного ущерба организации, ее клиентам и корреспондентам, целостность (а при необходимости и аутентичность) которой должна обеспечиваться в соответствии с решением руководства организации (методами подсчета контрольных сумм, ЭЦП и т.п.);

«нет требований » - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

Требуемые степени доступности функциональных задач:

«беспрепятственная доступность » – к задаче должен обеспечиваться доступ в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);

«высокая доступность » – доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);

«средняя доступность » – доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);

«низкая доступность » – временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата – несколько недель).

Категории АРМ. В зависимости от категорий решаемых на АРМ задач устан-ся 4 категории АРМ: «A », «B », «C » и «D ». К группе АРМ категории «A» относятся АРМ, на кот.решается хотя бы одна функц. задача первой категории. Категории остальных задач, решаемых на данном АРМ, не должны быть ниже второй. К группе АРМ категории «B» относятся АРМ, на которых решается хотя бы одна функциональная задача второй категории. Категории остальных задач, решаемых на данном АРМ, должны быть не ниже третьей и не выше второй. К группе АРМ категории «C» относятся АРМ, на которых решается хотя бы одна функциональная задача третьей категории. Категории остальных задач, решаемых на данном АРМ, должны быть не выше третьей. К группе АРМ категории «D» относятся АРМ, на которых решаются функциональные задачи только четвертой категории.

Документированная информация категории ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию.

Информация является секретной, если она содержит сведения, отнесенные к государственной тайне.

Государственной тайной называют защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений.

Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведении: особой важности, совершенно секретно и секретно. Грифом секретности называют реквизиты (проставляются на самом носителе и (или) в сопроводительной документации на него), свидетельствующие о степени секретности сведений, содержащихся в их носителе.

К сведениям особой важности относятся сведения в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам Российской Федерации в указанных областях.

Совершенно секретными сведениями называются сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам министерства (ведомства) или отрасли экономики Российской Федерации в одной или нескольких из перечисленных областей.

К секретным сведениям следует отнести сведения, содержащие государственную тайну, распространение которых может нанести ущерб интересам предприятия, учреждения или организации в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной или оперативно-розыскной деятельности.

Конфиденциальной информацией называют документированную информацию, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальная информация может быть личной, служебной, коммерческой, судебно-следственной, профессиональной, производственной.

К конфиденциальной личной информации относится информация, содержащая персональные данные (сведения о фактах, событиях и обстоятельствах частной жизни гражданина), позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном порядке.

Служебной тайной называют защищаемые сведения, не являющиеся государственной тайной, несанкционированное распространение которых служащим, которому эти сведения были доверены в связи с исполнением им должностных обязанностей, может нанести ущерб органам государственной власти, государственным предприятиям, учреждениям, организациям или нарушить их функционирование.

К коммерческой тайне относятся сведения, содержащие действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. К ней нет свободного доступа на законном основании, и обладатель информации принимает меры по охране ее конфиденциальности.

Судебно-следственная конфиденциальная информация содержит сведения, составляющие тайну следствия и судопроизводства.

К профессиональной конфиденциальной информации относится информация, содержащая сведения, связанные с профессиональной деятельностью, доступ к которым ограничен законами (врачебными, нотариальными, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений).

Производственная конфиденциальная информация содержит сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

В зависимости от степени секретности обрабатываемой информации объекты ВТ и выделенные помещения также категорируются.

При определении категорий объектов информатики технические средства и системы могут быть составной частью стационарных или подвижных объектов. В пределах одной контролируемой зоны могут располагаться несколько объектов, в том числе имеющих разные категории. Категория объекта определяется высшим грифом обрабатываемой информации.

Условия расположения считаются особыми, если объект информатики расположен на удалении менее 100 м от учреждений иностранных государств (посольств, консульств, миссий, постоянных представительств иностранных государств, офисов иностранных и совместных с инофирмами предприятий, квартир и дач их иностранных сотрудников, пользующихся экстерриториальностью).

Если объект информатики расположен на расстоянии более 100 м от учреждений иностранных государств, то условия расположения считаются обычными.

К первой категории относят объекты информатики, где обрабатывается информация особой важности, независимо от условий их расположения, а также совершенно секретная информация при расположении объектов ВТ и выделенных помещений в особых условиях.

Объекты ВТ, где обрабатывается информация с грифом «совершенно секретно» при обычных условиях расположения и «секретно» в особых условиях, относятся ко второй категории.

Если объект ВТ расположен в обычных условиях и на объекте обрабатывается информация с грифом «секретно», то объект ВТ относится к третьей категории.

По требованиям обеспечения защиты информации объекты органов управления, военные и промышленные объекты делятся на 3 категории:

· первая – объекты, при строительстве, реконструкции и эксплуатации которых необходимо сокрытие или искажение информации об их местоположении, предназначении или профиле деятельности;

· вторая – объекты, на которых необходимо обеспечить защиту информации, циркулирующей в технических средствах, а также информации о разрабатываемых (производимых, испытываемых) или эксплуатируемых образцах вооружения и военной техники или о производствах и технологиях, подлежащих защите;

· третья – объекты, на которых необходимо обеспечить защиту информации, циркулирующей в технических средствах, а также предприятия, проводящие в инициативном порядке и на основе самофинансирования научно-исследовательские и опытно-конструкторские работы, необходимость защиты информации о которых может появиться в ходе проводимых работ.

Проблему защиты информации сложно назвать надуманной. Повсюду мы слышим о взломах, вирусах, вредоносном программном обеспечении, атаках, угрозах, уязвимостях… И каждый раз нам приходится задумываться, а все ли сделано для нашей безопасности? Можем ли мы спать спокойно? Попробуем разобраться, с чего начинается работа службы информационной безопасности.

Информационная безопасность как система

Информационная безопасность - это комплекс мер, среди которых нельзя выделить более или менее важные. И иначе ее воспринимать нельзя. Здесь важно все! Меры защиты нужно соблюдать во всех точках сети, при работе любых субъектов с вашей информацией (под субъектом в данном случае понимается пользователь системы, процесс, компьютер или программное обеспечение для обработки информации). Каждый информационный ресурс, будь то компьютер пользователя, сервер организации или сетевое оборудование, должен быть защищен от всевозможных угроз. Защищены должны быть файловые системы, сеть и пр. Способы реализации защиты мы в этой статье рассматривать не будем из-за их огромного разнообразия.

Обеспечить стопроцентную защиту невозможно. Вместе с тем нужно понимать, что чем выше уровень защищенности, тем дороже система и тем более неудобной в использовании она становится для пользователя, что, естественно, ведет к ухудшению защиты вследствие влияния человеческого фактора. Например, чрезмерное усложнение пароля ведет к тому, что пользователи приклеивают стикеры с паролями к мониторам, клавиатуре и т.д. Стоит вспомнить и тот факт, что, по оценкам некоторых западных исследователей, до 45% времени служба поддержки пользователей затрачивает на восстановление утерянных пользователями паролей!

Существует огромное количество программного обеспечения, направленного на решение задач защиты информации: антивирусное ПО, брандмауэры, встроенные средства операционных систем и многое другое. Однако самым уязвимым звеном в защите является человек, ведь работоспособность любого программного обеспечения зависит от качества его написания, от грамотности администратора соответствующего средства защиты, от уровня дисциплинированности пользователей, которые работают с данным ПО. В связи с этим многие организации создают службы (отделы) защиты информации или ставят соответствующие задачи перед своими ИТ-отделами. Однако нельзя взваливать на ИТ-службу несвойственные ей функции. Об этом уже не раз говорилось. Ведь если вы поручите обеспечение защиты информации ИТ-отделу, то эти задачи будут выполняться либо в последнюю очередь, либо в ущерб основным его задачам. Причем все это произойдет лишь в том случае, если ваш ИТ-отдел понимает, что и как он должен делать.

Итак, предположим, что в вашей организации создан отдел информационной безопасности. Что делать дальше? С чего начать?

Начинать нужно с обучения сотрудников отдела информационной безопасности, и в дальнейшем сделать это регулярным процессом (они должны проходить обучение не реже двух раз в год). Обучение обычного персонала основам защиты информации является обязанностью отдела защиты информации, и его тоже нужно проводить не реже двух раз в год.

Многие руководители сразу же хотят получить от отдела защиты информации документ под названием «Политика безопасности организации». Правильно ли это? На мой взгляд - нет. Перед тем как вы приступите к написанию этого огромного труда, вам нужно ответить на следующие вопросы:

какую информацию вы обрабатываете?
как ее классифицировать по свойствам?
какими ресурсами вы обладаете?
как распределена обработка информации по ресурсам?
как классифицировать ресурсы?

Классификация информации

Исторически сложилось так, что, как только поднимается вопрос о классификации информации (в первую очередь это относится к информации, принадлежащей государству), ее сразу же начинают классифицировать по уровню секретности (конфиденциальности). При этом о требованиях по обеспечению доступности, целостности, наблюдаемости если и вспоминают, то вскользь, наряду с собщими требованиями к системам обработки информации.

Если такой подход еще можно как-то оправдать по отношению к государственной информации, то переносить его в другую предметную область просто нелепо.

Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой невелик, важнейшими свойствами являются такие, как доступность, целостность и защищенность от неправомерного копирования. Приведем в качестве примера веб-сайт интернет-издания, приоритетами для которого, на мой взгляд, будут доступность и целостность информации, а не ее конфиденциальность.

Если рассматривать и классифицировать информацию только с позиции секретности, это приведет к провалу. Основными причинами подобного поведения являются узость традиционного подхода к защите информации, отсутствие опыта в плане обеспечения доступности, целостности и наблюдаемости информации, которая не является секретной (конфиденциальной). Согласно требованиям законодательства, собственник информации сам определяет уровень ее конфиденциальности (в случае если эта информация не принадлежит государству).

Категории защищаемой информации

Исходя из необходимости обеспечения различных уровней защиты информации (не содержащих сведений, составляющих государственную тайну), хранимой и обрабатываемой в организации, введем несколько категорий конфиденциальности и несколько категорий целостности защищаемой информации.

с овершенно конфиденциально - информация, признанная конфиденциальной согласно требованиям законодательства, или информация, ограничения на распространение которой введены решением руководства и разглашение которой может привести к тяжелым финансово-экономическим последствиям для организации, вплоть до банкротства;
конфиденциально - к данной категории относится информация, не попавшая в категорию «совершенно конфиденциально», ограничения на распространение которой введены решением руководства в соответствии с предоставленными ему, как собственнику информации, действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению существенного ущерба интересам его клиентов, партнеров или сотрудников);
открытая - к данной категории относится информация, обеспечение конфиденциальности которой не требуется.

в ысокая - информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба организации;
низкая - к данной категории относится информация, несанкционированная модификация которой может привести к нанесению незначительного ущерба организации, ее клиентам, партнерам или сотрудникам;
нет требований - к данной категории относится информация, к обеспечению целостности и аутентичности которой требований не предъявляется.

По степени доступности введем четыре категории в зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения:

реальное время - доступ к задаче должен обеспечиваться в любое время;
час - доступ к задаче должен осуществляться без длительных временны х задержек (задача решается каждый день, задержка не превышает нескольких часов);
день - доступ к задаче может обеспечиваться с существенными временны ми задержками (задача решается раз в несколько дней);
неделя - временны е задержки при доступе к задаче не установлены (период решения задачи составляет несколько недель или месяцев, допустимая задержка получения результата - несколько недель).

Категорирование информации

Категорирование всех видов информации, используемой при решении задач на конкретных компьютерах (установка категорий конфиденциальности, целостности и доступности конкретных видов информации).
Категорирование всех задач, которые решаются на данном компьютере.
Исходя из максимальных категорий обрабатываемой информации устанавливается категория компьютера, на котором она обрабатывается.

Инвентаризация ресурсов

Прежде чем говорить о защите информации в организации, следует четко определить, что вы собираетесь защищать и какими ресурсами обладаете? Для этого необходимо провести работы по инвентаризации и анализу всех ресурсов автоматизированной системы организации, подлежащих защите. Для этого нужно выполнить следующие работы:

Для проведения инвентаризации и категорирования ресурсов, подлежащих защите, формируется специальная рабочая группа. В нее включаются специалисты подразделения компьютерной безопасности и других подразделений организации, которые могут оказать помощь при рассмотрении вопросов технологии автоматизированной обработки информации в организации.
Для того чтобы созданная группа обладала необходимым организационно-правовым статусом, издается соответствующее распоряжение руководства организации, в котором указывается, что все руководители соответствующих подразделений организации должны оказывать содействие и необходимую помощь рабочей группе в анализе ресурсов всех компьютеров.
Для оказания помощи во время работы группы в подразделениях их руководители должны выделять сотрудников, владеющих детальной информацией по вопросам автоматизированной обработки информации в данных подразделениях.
Данное распоряжение доводится до сведения (под роспись) руководителей всех подразделений.
В ходе обследования (анализа) организации и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с помощью компьютеров, а также все виды информации, используемые для решения этих задач в подразделениях.
По окончании обследования для каждой задачи, решаемой в организации, составляется формуляр. Следует понимать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот - различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств, применяемых при решении функциональных задач подразделения.

В ходе обследования выявляются все виды информации (входящая, исходящая, хранимая, обрабатываемая и т.д.). Необходимо учитывать не только конфиденциальную информацию, но и информацию, нарушение целостности или доступности которой может нанести ощутимый ущерб организации.

При анализе обрабатываемой в организации информации нужно оценивать серьезность последствий, к которым может привести нарушение ее свойств. Для этого необходимо проводить опросы (тестирование, анкетирование) специалистов, которые с ней работают. При этом следует выяснить, кому выгодно незаконно использовать эту информацию или воздействовать на нее. Если вы не можете дать количественную оценку возможного ущерба, проведите его качественную оценку (низкий, высокий, очень высокий).

Для понимания категорий доступности необходимо при анализе решаемых в организации задач выяснять максимально допустимое время задержки результатов, периодичность их решения и серьезность последствий при нарушении их доступности (блокировании задач).

В ходе анализа каждый из видов информации должен быть отнесен к определенной степени (грифу) конфиденциальности (на основании требований действующего законодательства и предоставленных организации прав). При этом для оценки категории конфиденциальности конкретных видов информации у руководителей (ведущих специалистов) структурного подразделения выясняются их личные оценки вероятного ущерба от нарушения свойств конфиденциальности и целостности информации.

По окончании анализа составляется «Список информационных ресурсов, подлежащих защите». Затем он согласовывается с руководителями отделов подразделений ИТ и компьютерной безопасности и выдвигается на рассмотрение руководства организации.

Далее необходимо провести категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных со службой ИТ, категорируются все прикладные задачи, решаемые в подразделениях. Информация о категориях прикладных задач заносится в формуляры задач. Следует учесть, что нельзя проводить категорирование системных задач и программных средств без привязки к конкретным компьютерам и прикладным задачам.

В дальнейшем с участием специалистов ИТ-службы и подразделения защиты информации необходимо уточнить состав ресурсов (информационных, программных) для каждой задачи и внести в формуляр конкретной задачи сведения по группам пользователей данной задачи и указания по настройке применяемых при ее решении средств защиты (например, полномочия доступа групп пользователей к перечисленным ресурсам задачи). В дальнейшем на основании этих сведений будет производиться настройка средств защиты компьютеров, на которых будет решаться данная задача.

На следующем этапе происходит категорирование компьютеров. Категория компьютера устанавливается исходя из максимальной категории задач, решаемых на нем, и максимальных категорий конфиденциальности и целостности информации, используемой при выполнении этих задач. Информация о категории компьютера заносится в его формуляр.

В понятие инвентаризации ресурсов входит не только сверка тех активных и пассивных сетевых ресурсов, которыми вы обладаете, со списком оборудования (и его комплектности), закупленного организацией (для этого можно использовать соответствующее программное обеспечение, например Microsoft Systems Management Server). Сюда же можно отнести создание карты сети с описанием всех возможных точек подключения, списка применяемого программного обеспечения, фонда эталонов лицензионного программного обеспечения, используемого в организации, и фонда алгоритмов и программ собственной разработки.

Следует учесть, что программное обеспечение может быть допущено к работе лишь после его проверки отделом защиты информации на соответствие поставленным задачам и отсутствие всевозможных закладок и «логических бомб».

В связи с этим хотелось бы отметить появившуюся в нашей стране тенденцию к использованию программного кода Open Source. Не спорю, это позволяет существенно сэкономить ресурсы. Однако, на мой взгляд, в таком случае вопрос безопасности становится вопросом доверия уже не только к разработчику системы, но и к вашему администратору. А если вспомнить, сколько зарабатывает ваш администратор, то нетрудно сделать вывод, что купить ваши секреты намного проще и дешевле, чем осуществлять прямую внешнюю атаку. Стоит упомянуть и о том, что бо льшую часть успешных атак осуществили инсайдеры, то есть свои же служащие компании.

На мой взгляд, применять свободно распространяемое программное обеспечение можно лишь в случае, если оно будет поставляться вам в откомпилированном виде и с цифровой подписью организации, гарантирующей отсутствие в нем логических бомб, разного рода закладок и «черных ходов». Причем организация должна нести материальную ответственность за свою гарантию, что, на мой взгляд, невозможно. Однако выбор за вами.

После проверки эталонное программное обеспечение заносится в фонд алгоритмов и программ (эталонная копия должна сопровождаться файлом контрольной суммы, а лучше - электронной подписью разработчика). В дальнейшем при смене версий и появлении обновлений проверка программного обеспечения производится в установленном порядке.

В дальнейшем в формуляр каждого компьютера заносятся сведения об установленном программном обеспечении, дате его установки, целях, задачах, решаемых с его помощью, а также фамилии и подписи лиц, производивших установку и настройку программ. После создания подобных формуляров служба информационной безопасности должна обеспечивать регулярную проверку соответствия реального положения дел формуляру.

Особо хотелось бы рассмотреть такой непростой пункт, как «инвентаризация» персонала. Когда создавалась ваша организация, вовсе не факт, что на работу набирался персонал, понимающий, что и как нужно делать. Поэтому необходима проверка знаний и обучение персонала. Параллельно с проверкой знаний следует в обязательном порядке ознакомить под роспись персонал с соответствующими статьями Уголовного кодекса, чтобы в случае их нарушения сотрудники понимали, что они делают.

Следующим этапом в построении службы защиты информации является анализ рисков организации, определяющий политику безопасности.

Заключение

По окончании описанных работ вы получите исходные данные для написания политики безопасности, которая будет опираться на соответствующие международные стандарты.