Грибунин В.Г. Комплексная система защиты информации на предприятии
Подождите немного. Документ загружается.
множества «промежуточных» решении, которые, тем не менее,
сводятся к одному из следующих вариантов:
1) стоимость КСЗИ не должна превышать определенную сумму,
например более 20
%
стоимости информационной системы, —
в этом случае ставится задача поиска варианта обеспечения ИБ,
минимизирующего уровень интегральных рисков;
2) уровень рисков не должен превышать некоторое значение,
например «очень низкий уровень», в этом случае необходимо найти
вариант решений по обеспечению ИБ, минимизирующий сто-
имость.
Следует иметь в виду, что ущерб от нарушения ИБ может быть
значительно ниже стоимости КСЗИ
(т. е.
речь идет об избыточно
надежной КСЗИ). Следовательно, основной ущерб предприятия
связан не с потерями от нарушения ИБ, а с чрезмерно высокой
стоимостью системы, поэтому инвестиции в создание и эксплуа-
тацию КСЗИ должны быть сбалансированными и соответство-
вать масштабу угроз.
Такой качественный анализ показывает, что в инвестицион-
ном диапазоне существует оптимальное значение инвестиций в
КСЗИ, минимизирующее общий ущерб при нарушениях ИБ.
Именно в этом смысле рассматривается задача создания эконо-
мически оптимальной КСЗИ.
Типичная зависимость уровня ущерба от стоимости КСЗИ,
полученная при условии уменьшения вероятности нанесения ущер-
ба
Р
ущ
(уменьшения уязвимости
Р
у
)
с ростом стоимости системы
приведена на рис. 1.2. Из рисунка следует, что применение даже
недорогих способов и средств обеспечения ИБ резко снижает сум-
марный ущерб. Поэтому инвестиции в КСЗИ даже в сравнитель-
но небольших размерах очень эффективны, а кривая ущерба в
некоторой точке имеет наименьшее значение, которое можно счи-
тать оптимальным.
Рост затрат на КСЗИ выше оптимального значения ведет к
увеличению суммарных затрат. В этом случае повышение надеж-
ности КСЗИ и соответствующее снижение вероятности ущерба
нивелируются чрезмерно высокой стоимостью самой системы.
Ущерб
Уровень
наименьших
потерь
Оптимальное Стоимость
значение
СИБ
Рис. 1.2. Зависимость ущерба от стоимости системы информационной
безопасности (СИБ)
20
Поэтому наилучшей стратегией, видимо, является использование
КСЗИ,
обеспечивающей минимум суммарных затрат. Эффектив-
ность этого решения подтверждена результатами моделирования:
экономически оптимальная КСЗИ снижает суммарные ожидае-
мые потери примерно на порядок по сравнению с базовыми ре-
шениями. При этом такая система не является самой безопасной.
Более того, вероятность ущерба от нарушения ИБ в этой системе
может в разы превышать минимально возможные значения.
В случае, когда доминирующим требованием является обеспе-
чение гарантированной
И
Б на заданном уровне, реализация кон-
цепции экономически оптимальной КСЗИ не применима. Это
относится, например, к защите сведений, составляющих государ-
ственную тайну.
Оптимальные КСЗИ наиболее интересны для экономически
самостоятельных предприятий, для которых критичен баланс меж-
ду затратами на систему ИБ и возможным ущербом. Оценка эко-
номически оптимальных параметров должна являться основой
формирования конкретного
технико-организационного
облика
КСЗИ.
Таким образом, изложенные принципы организации менедж-
мента по безопасности коммерческого предприятия позволяют
осуществить анализ действующих либо вновь создаваемых систем
защиты в плане обеспечения экономически эффективной без-
опасности предпринимательской деятельности,
т. е.
позволяет со-
здать согласованный комплекс мероприятий, направленных на
решение научно-технических, социально-экономических и дру-
гих проблем наиболее эффективным путем в соответствии с тре-
бованиями, установленными в стандартах и законах.
1.5.
Управление безопасностью предприятия.
Международные стандарты
При построении КСЗИ большое значение имеет разработка
концепции управления безопасностью предприятия. Создание
системы управления информационной безопасностью (СУИБ)
должно базироваться на требованиях и рекомендациях норматив-
ных и правовых актов. Однако до недавнего времени в России в
области стандартизации организационных основ информацион-
ной безопасности (ИБ) существовал определенный пробел, затра-
гивались
лишь
отдельные аспекты рисков бизнес-процессов (ГОСТ
15.002,
серия
9000,
51901 и др.) [5]. Активность в данном направ-
лении до сих пор проявлял лишь Банк России, выпустивший свой
стандарт
ИББС-1.0.
Однако в связи с планируемым вступлением
России в ВТО повысилась актуальность внедрения популярных в
21
к» Таблица
1.1.
Основные положения российских организационных стандартов
по ИБ
Стандарт
Цель
и задачи
Область
применения
Базовые
разделы
Проект ГОСТ
Р
ИСО/МЭК
27001-06
Устанавливает требования:
по созданию, внедрению,
эксплуатации, мониторингу,
анализу, поддержке СУИБ;
по внедрению мер, средств
управления
ИБ
Международная сертификация
Требования:
к созданию СУИБ;
внедрению
и
эксплуатации
СУИБ;
мониторингу
и
анализу СУИБ;
поддержке, совершенствованию
СУИБ;
документации;
обязанностям руководства;
управлению ресурсами
и
обуче-
нию;
внутренним аудитам СУИБ
Проект ГОСТ
Р
ИСО/МЭК
17799-06
Устанавливает руководящие
принципы
для
инициирования,
реализации, поддержки
и
усо-
вершенствования руководства
ИБ
в
организациях
Международная стандартизация
Политика безопасности.
Организация
ИБ.
Управление активами.
Безопасность кадровых ресурсов.
Физическая
и
экологическая
безопасность.
Управление средствами связи.
Контроль доступа.
Приобретение, разработка
и обслуживание
АС.
Управление инцидентами
ИБ.
Управление непрерывностью
бизнеса.
Соответствие
СТО
БР
ИББС-1.0-2006
Определение рекомендаций
по разработке документов
и требований
по
безопасности
информационных
и
телеком-
муникационных технологий
Стандартизация
и
сертификация
в банковской сфере
РФ
Парадигма обеспечения
ИБ.
Основные принципы, модели
угроз.
Политика
ИБ и
требования
по обеспечению
ИБ
(персонал,
жизненный цикл, управление
доступом
и
регистрация, анти-
вирусная защита, Интернет,
криптография
и др.)
СУИБ: планирование, реализа-
ция, эксплуатация, проверка,
совершенствование, непрерыв-
ность
и
восстановление, доку-
ментирование, служба
ИБ.
Проверка
и
оценка
ИБ.
Модель зрелости
мире стандартов по организационным основам ИБ серии 270хх.
Технический комитет по стандартизации ТК-362, который уже
много лет занимается вопросами адаптации указанных стандар-
тов, в мае
2007
г. подготовил первые версии проектов ГОСТ
17799
и
27001
(табл. 1.1).
При внедрении организационных стандартов появляется воз-
можность добровольной сертификации не только систем качества
(как это сейчас происходит, на соответствие стандартам серии
9000), но и СУИБ. Зачастую такие требования уже выдвигают за-
падные партнеры наших предприятий.
Кроме того, проведение сертификации СУИБ компании по-
зволяет: обосновать затраты на эту систему; оценить ее эффек-
тивность; определить приоритеты КСЗИ.
Например, в ряде случаев уровень безопасности можно значи-
тельно повысить организационными мерами, не прибегая при этом
к существенным капиталовложениям.
Особую актуальность внедрению организационных стандартов
ИБ придает развитие нового вида услуг в данной области — стра-
хование рисков ИБ. Имеются данные, что организации, обладаю-
щие международными сертификатами соответствия стандартам
СУИБ, получают скидки, сопоставимые с затратами на проведе-
ние сертификации [5].
В настоящее время комитетом
ISO/IEC
JTC
1/SC27
ведется
разработка стандартов для систем управления информационной
безопасностью (СУИБ) серии 2700х. Разработаны и планирова-
лось разработать следующие стандарты (сведения на лето
2007
г.):
•
ISO27000
— определения и основные принципы СУИБ;
•
ISO27001:2005
— этот стандарт уже внедряется фирмами в
РФ, которые не дожидаются его перевода;
.
ISO27002
- в апреле
2007
г. заменяет ISO
17799
: 2005;
•
ISO27003
— руководство по внедрению СУИБ
(2007
г.);
.
ISO27004
— оценка эффективности СУИБ
(2007
г.);
•
ISO27005
— управление рисками ИБ (в его основе лежит
BS
7799-3
:
2006,
планируемый выпуск — в
2007
г.).
Осенью
2006
г. был опубликован ГОСТ Р ИСО/МЭК
17799-
2005, являющийся переводом стандарта ISO
17799:2000
(к сожа-
лению, его, а не более современного
17799:2005).
По мнению
аналитиков известного Интернет-ресурса CNews, качество рус-
ского текста оставляет желать лучшего, так что рекомендуется
читать ISO
17799:
2005, причем в оригинале.
Кроме того, в
2007
г. в РФ планировались перевод и прямое
применение следующих стандартов:
•
ISO/IEC
18045
:
2005
— методология оценки безопасности ИТ;
. ISO/IEC TR
18044:2004
— управление инцидентами ИБ;
.
ISO/PRF
TR
13569.2,
ISO/TR
13569:1997
- рекомендации
по ИБ при предоставлении финансовых услуг.
23
1.6.
Цели и задачи защиты информации
в автоматизированных системах
Современный бизнес немыслим без широкого использования
автоматизированной обработки информации, средств вычислитель-
ной техники, связи. Создаваемые на основе этих информацион-
ных технологий системы и сети носят глобальный, территориаль-
но распределенный характер. В компьютерах на носителях дан-
ных накапливаются значительные объемы информации, зачастую
носящей конфиденциальный характер или представляющей боль-
шую ценность для ее владельца. Однако компьютерная обработка
информации, при всех ее положительных сторонах, порождает
целый ряд сложных и крупномасштабных проблем. Одной из та-
ких проблем является надежное обеспечение сохранности и уста-
новленного статуса использования информации, циркулирующей
и обрабатываемой в информационно-вычислительных системах и
сетях, автоматизированных системах. Для решения этой пробле-
мы разрабатывается система защиты информации (СЗИ) в АС.
СЗИ включает меры по защите процессов создания данных, их
ввода, хранения, обработки и вывода. СЗИ должна обезопасить
ценности системы, защитить и гарантировать точность и целост-
ность информации, минимизировать разрушения, которые могут
иметь место, если информация будет модифицирована или разру-
шена. Защита информации требует учета всех событий, в ходе
которых информация создается, модифицируется, к ней обеспе-
чивается доступ или она распространяется.
Защита информации направлена на достижение следующих
целей:
• конфиденциальность критической информации;
• целостность информации и связанных с ней процессов (со-
здания, ввода, обработки и вывода);
• доступность информации, когда она нужна;
• учет всех процессов, связанных с информацией (например,
неотказуемость авторства).
Работы по защите информации у нас в стране ведутся доста-
точно интенсивно и уже продолжительное время. Накоплен опре-
деленный опыт. Его анализ показал, что весь период работ по
защите информации в АС достаточно четко делится на три этапа,
каждый из которых характеризуется своими особенностями в прин-
ципиальных подходах к защите информации.
Первый этап характеризуется упрощенным подходом к самой
проблеме, порожденным убеждением, что уже сам факт представ-
ления информации в ЭВМ в закодированном виде и обработки ее
по специфическим алгоритмам является серьезным защитным
средством. Поэтому для обеспечения защиты информации впол-
24
не достаточно включить в состав АС некоторые технические и
программные средства и осуществить ряд организационных ме-
роприятий. Надежды эти не оправдались, специалисты пришли к
выводу о том, что для защиты информации требуется некоторая
вполне организованная система со своим управляющим элемен-
том. Такой элемент получил название ядра защиты, или ядра без-
опасности. Тем не менее, все еще сохранялась надежда, что си-
стема защиты с ядром в дальнейшем будет обеспечивать надеж-
ную защиту во все время функционирования АС, хотя существен-
но повысилось внимание к организационным мероприятиям.
Изложенный подход был характерен и для второго этапа. Од-
нако нарушения в организации безопасности информации неу-
клонно росли, что вызывало серьезную озабоченность, поскольку
могло стать серьезным препятствием на пути внедрения вычисли-
тельной техники. Усиленные поиски выхода из такой почти кри-
зисной ситуации привели к выводу, что защита информации в
современных АС есть не одноразовая акция, а непрерывный про-
цесс, целенаправленно осуществляемый во все время создания и
функционирования систем с комплексным применением всех
имеющихся средств, методов и мероприятий. Сделанный вывод
знаменовал начало третьего этапа в развитии подходов к защите
информации, который осуществляется и в настоящее время. Так
в самых общих чертах может быть охарактеризовано существо за-
рубежного и отечественного опыта защиты информации в АС.
На основе сказанного, теоретических исследований и практи-
ческих работ в области защиты информации сформулирован так
называемый системно-концептуальный подход к защите инфор-
мации в АС.
Под системностью как составной частью системно-концепту-
ального подхода понимается [6]:
• во-первых, системность целевая, т.е. защищенность инфор-
мации рассматривается как составная часть общего понятия каче-
ства информации;
. во-вторых, системность пространственная, предполагающая
взаимоувязанное решение всех вопросов защиты во всех компо-
нентах отдельно взятой АС, во всех АС учреждения (заведения,
ведомства), расположенных на некоторой территории;
•
в-третьих, системность временная, означающая непрерывность
работ по защите информации, осуществляемых по взаимоувязан-
ным планам;
•
в-четвертых, системность организационная, означающая един-
ство организации всех работ по защите информации и управле-
ния их осуществлением. Она предопределяет объективную необ-
ходимость создания в общегосударственном масштабе стройной
системы органов, профессионально ориентированных на защиту
информации, несущих полную ответственность за оптимальную
25
организацию надежной защиты во всех АС, обладающих необхо-
димыми полномочиями. Главной целью указанной системы орга-
нов должна быть реализация в общегосударственном масштабе
принципов системно-концептуального подхода к защите инфор-
мации как государственного, так и коммерческого характера.
Концептуальность подхода предполагает разработку единой
концепции как полной совокупности научно обоснованных взгля-
дов, положений и решений, необходимых и достаточных для оп-
тимальной организации и обеспечения надежности защиты ин-
формации, а также для целенаправленной организации всех ра-
бот по ее защите. Разработка такой концепции в настоящее время
находится в стадии завершения, и ее содержание охватывает все
направления обеспечения надежной защиты информации.
Комплексность системы защиты информации достигается охва-
том всех возможных угроз и согласованием между собой разно-
родных методов и средств, обеспечивающих защиту всех элемен-
тов АС.
Основные требования к комплексной системе защиты инфор-
мации в АС:
• должна обеспечивать выполнение АС своих основных функ-
ций без существенного ухудшения характеристик последней;
•
должна быть экономически целесообразной, так как стоимость
системы защиты информации включается в стоимость АС;
•
должна обеспечиваться на всех этапах жизненного цикла, при
всех технологических режимах обработки информации, в том числе
при проведении ремонтных и регламентных работ;
• в систему защиты информации должны быть заложены воз-
можности ее совершенствования и развития в соответствии с усло-
виями эксплуатации и конфигурации АС;
• должна обеспечивать в соответствии с установленными пра-
вилами разграничение доступа к конфиденциальной информации
с отвлечением нарушителя на ложную информацию, т.е. обладать
свойствами активной и пассивной защиты;
• при взаимодействии защищаемой АС с незащищенными АС
должна обеспечивать соблюдение установленных правил разгра-
ничения доступа;
• должна позволять проводить учет и расследование случаев
нарушения безопасности информации в АС;
• не должна своим применением ухудшать экологическую об-
становку, быть сложной для пользователя, вызывать психологи-
ческое противодействие и желание обойтись без нее.
Перечень основных задач, которые должны решаться систе-
мой защиты информации в АС:
• управление доступом пользователей к ресурсам АС с целью
ее защиты от неправомерного случайного или умышленного вме-
шательства в работу системы и несанкционированного (с превы-
26
шением предоставленных полномочий) доступа к ее информаци-
онным, программным и аппаратным ресурсам со стороны посто-
ронних лиц, а также лиц из числа персонала организации и пользо-
вателей;
• защита данных, передаваемых по каналам связи;
• регистрация, сбор, хранение, обработка и выдача сведений
обо всех событиях, происходящих в системе и имеющих отноше-
ние к ее безопасности;
• контроль работы пользователей системы со стороны админис-
трации и оперативное оповещение администратора безопасности о
попытках несанкционированного доступа к ресурсам системы;
• контроль и поддержание целостности критичных ресурсов
системы защиты и среды исполнения прикладных программ;
• обеспечение замкнутой среды проверенного программного
обеспечения с целью защиты от бесконтрольного внедрения в
систему потенциально опасных программ (в которых могут со-
держаться вредоносные закладки или опасные ошибки) и средств
преодоления системы защиты, а также от внедрения и распро-
странения компьютерных вирусов;
• управление средствами защиты информации.
Поскольку субъектам информационных отношений ущерб мо-
жет быть нанесен также посредством воздействия на процессы и
средства обработки критичной для них информации, становится
очевидной необходимость обеспечения защиты всей системы об-
работки и передачи данной информации от несанкционирован-
ного вмешательства в процесс ее функционирования, а также от
попыток хищения, незаконной модификации и/или разрушения
любых компонентов данной системы.
Поэтому под безопасностью автоматизированной системы
обработки информации (компьютерной системы) понимается за-
щищенность всех ее компонентов (технических средств, програм-
много обеспечения, данных и персонала) от подобного рода не-
желательных для соответствующих субъектов информационных от-
ношений воздействий.
1.7.
Современное понимание методологии
защиты информации
1.7.1.
Особенности национального технического
регулирования
Под методологией защиты информации понимается использо-
вание совокупности необходимых и достаточных моделей, мето-
дов, методик. Подходы к моделированию КСЗИ, применяемые в
27
ней методы и методики будут рассмотрены в следующих главах.
Здесь мы остановимся на проектах двух документов в этой облас-
ти, которые отражают современную систему взглядов на пробле-
му защиты информации, — проектах технических регламентов.
В случае их принятия они будут иметь силу закона.
С принятием в
2002
г. Федерального закона «О техническом
регулировании» началась новая эра в области задания требований
к продукции и оценке ее соответствия. Целью данного закона
было снятие излишних, искусственно воздвигнутых барьеров на
пути изделий отечественных (и не только) производителей, лик-
видация разнородных и иногда противоречивых требований, за-
ложенных в отечественных стандартах. Отныне все обязательные
требования разрешается излагать только в технических регламен-
тах (ТР), а следование стандартам — дело добровольное. При этом
и в ТР можно предъявлять не произвольные требования, а лишь
касающиеся «защиты жизни или здоровья граждан, имущества
физических или юридических лиц, государственного или муни-
ципального имущества; охраны окружающей среды, жизни или
здоровья животных и растений; предупреждения действий, вво-
дящих в заблуждение приобретателей».
В ст. 7 упомянутого закона приведены различные виды без-
опасности, которые обеспечиваются выполнением минимальных
требований регламентов: механическая, пожарная, промышлен-
ная, ...Обращает на себя внимание отсутствие такого важного вида,
как информационная безопасность.
Существуют мнения о необходимости внесения в закон соот-
ветствующих поправок, но в настоящее время решили идти «околь-
ным» путем. Влияет информационная безопасность на жизнь лю-
дей, на сохранность имущества? В какой-то степени, да. Поэтому
было решено разработать и принять два специальных техничес-
ких регламента (СТР-45 и СТР-46) в этой области, а в преамбуле
написать, что принимаются данные регламенты в целях, указан-
ных в ФЗ «О техническом регулировании», которые приведены
выше.
Надо сказать, что СТР-45 («О безопасности информационных
технологий») и СТР-46 («О требованиях к средствам обеспечения
безопасности информационных технологий») должны были быть
приняты еще в
2005
г. На момент написания книги
(2008
г.) их
судьба все еще неясна, тем не менее целесообразно изучить мето-
дологический подход, заложенный в проектах этих регламентов.
1.7.2.
Что понимается под безопасностью ИТ?
Несмотря на свое довольно широкое название, проект СТР-45
рассматривает в основном только одну сторону обеспечения без-
опасности ИТ — защиту от НСД в
АС.
Кроме того, изложены
28
требования к физической защите и защите среды ИТ (пожарная,
электробезопасность и т.д.). При этом, чтобы хоть как-то соот-
ветствовать своему названию, вместо термина АС по тексту ис-
пользуется термин «ИТ» — упорядоченная совокупность аппарат-
ных, программных, аппаратно-программных средств, систем и ин-
формационных процессов. На наш взгляд, определение не очень
удачное, так как из него не видно, как связаны информационные
процессы с «железом». Кроме того, непонятно, что относится к
ИТ. Например, мобильный телефон — это тоже упорядоченная
совокупность программных и аппаратных средств и информаци-
онных процессов, нарушение безопасности которых вполне мо-
жет повлечь существенный ущерб.
Большая часть рассматриваемого регламента посвящена требо-
ваниям к безопасности при эксплуатации ИТ. В проекте указаны
стадии жизненного цикла ИТ: подготовка к эксплуатации, ввод
в эксплуатацию, эксплуатация, снятие с эксплуатации, и для каж-
дой стадии приведен перечень необходимых мероприятий.
Первое, что необходимо выполнить при подготовке к эксплуа-
тации, — это категорирование по безопасности ИТ. СТР-45 вво-
дит 6 категорий ИТ, в зависимости от того, какой ущерб возмо-
жен при нарушении безопасности (табл. 1.2). К данным, приве-
денным в таблице, надо применять операцию «или».
Размер ущерба от нарушения безопасности будет определяться
после выполнения анализа и оценки рисков, правила выполне-
ния которых приведены в Приложении В к проекту СТР-45.
Кроме категорирования по безопасности в проекте СТР-45
предусмотрена еще и классификация ИТ, но для чего она выпол-
Таблица 1.2. Категорирование по безопасности ИТ
Категория
ИТ
(уровень
ущерба)
1-я
2-я
3-я
4-я
5-я
6-я
Материальный
ущерб,
МРОТ
401-500
501-1000
1001-5000
5001-0,5
млн
0,5
млн
—5
млн
>
5
млн
Нарушены
условия
жизнедеятель-
ности, человек
2-10
11-100
101-300
301-500
501-1000
> 1000
Постра-
дало,
человек
—
1-10
11-50
51-500
51-500
>500
Размер зоны
чрезвычайной
ситуации
—
Территория
объекта
Населенный
пункт, район
Субъект РФ
2
субъекта РФ
> 2 субъектов
РФ
29