Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

Программные средства защиты предназначены для вы-

полнения логических и интеллектуальных функций защиты и

включаются либо в состав программного обеспечения авто-

матизированной информационной системы, либо в состав средств,

комплексов и систем аппаратуры контроля,

Программные средства защиты информации являются наи-

более распространенным видом защиты, обладая следующими

положительными свойствами: универсальностью, гибкостью, про-

стотой реализации, возможностью изменения и развития. Ден ное

обстоятельство делает их одновременно и самыми уязвимы ми

элементами защиты информационной системы предприятия,

В настоящее время создано большое количество операци-

онных систем, систем управления базами данных, сетевых пакетов

и пакетов прикладных программ, включающих раз нообразные

средства защиты информации.

5.6 Методика построения корпоративной системы защиты

информации

В соответствии со ст. 20 Федерального закона «Об инфор -

мации, информатизации и защите информации» целями за щиты

информации являются в том числе:

- предотвращение утечки, хищения, утраты, искажения,

подделки информации;

- предотвращение несанкционированных действий по унич»

тожению, модификации, искажению, копированию, блокиро ванию

информации;

- предотвращение других форм незаконного вмешатель ства в

информационные ресурсы и информационные сис темы.

Главная цель любой системы информационной безопасности

заключается в обеспечении устойчивого функционирова ния

объекта: предотвращении угроз его безопасности, защите законных

интересов владельца информации от противоправных

посягательств, в том числе уголовно наказуемых деяний в

рассматриваемой сфере отношений, предусмотренных Уголовным

кодексом РФ, обеспечении нормальной про изводственной

деятельности всех подразделений объекта.

Другая задача сводится к повышению качества предостав -

ляемых услуг и гарантий безопасности имущественных прав и

интересов клиентов.

Для выполнения указанных целей необходимо:

- отнести информацию к категории ограниченного доступа

(служебной или коммерческой тайне);

- прогнозировать и своевременно выявлять угрозы безо-

пасности информационным ресурсам, причины и условия,

способствующие нанесению финансового, материального и

морального ущерба, нарушению его нормального функцио-

нирования и развития;

- создать условия функционирования с наименьшей веро-

ятностью реализации угроз безопасности информационным

ресурсам и нанесения различных видов ущерба;

- создать механизм и условия оперативного реагирования на

угрозы информационной безопасности и проявления нега тивных

тенденций в функционировании, эффективное пресе чение

посягательств на ресурсы на основе правовых, организационных и

технических мер и средств обеспечения безопасности;

- создать условия для максимально возможного возмеще ния и

локализации ущерба, наносимого неправомерными действиями

физических и юридических лиц, и тем самым ослабить возможное

негативное влияние последствий нарушения информационной

безопасности.

При выполнении работ можно использовать следующую

модель построения корпоративной системы защиты ин формации

(рис,5Л), основанную на адаптации Общих Критериев (ISO 15408) и

проведении анализа риска (ISO 17799) [59]. Эта модель

соответствует специальным нормативным документам по

обеспечению информационной безопаснос ти, принятым в

Российской Федерации, международному стандарту ISO/IEC 15408

«Информационная технология методы защиты критерии оценки

информационной безопасности», стандарту ISO/IEC 17799

«Управление информационной безопасностью» и учитывает

тенденции развития отечественной нормативной базы по вопросам

защиты информации.

Рис. 5.1. Модель построения корпоративной системы защиты

информации

Представленная модель защиты информации это сово -

купность объективных внешних и внутренних факторов и их

влияние на состояние информационной безопасности на объек те и

на сохранность материальных или информационных ре сурсов.

Рассматриваются следующие объективные факторы:

- угрозы информационной безопасности, характеризующиеся

вероятностью возникновения и вероятностью реализации;

- уязвимости информационной системы или системы контрмер

(системы информационной безопасности), влияющие на

вероятность реализации угрозы;

- риск - фактор, отражающий возможный ущерб организации в

результате реализации угрозы информационной безопасности:

утечки информации и ее неправомерного использо вания (риск в

конечном итоге отражает вероятные финансовые потери прямые

или косвенные).

Для построения сбалансированной системы информаци онной

безопасности предполагается первоначально провести анализ

рисков в области информационной безопасности. За тем

определить оптимальный уровень риска для организации на основе

заданного критерия. Систему информационной безопасности

(контрмеры) предстоит построить таким образом, чтобы достичь

заданного уровня риска.

Рассматриваемая методика проведения аналитических ра бот

позволяет:

- полностью проанализировать и документально оформить

требования, связанные с обеспечением информационной бе-

зопасности;

- избежать расходов на излишние меры безопасности, воз-

можные при субъективной оценке рисков;

- оказать помощь в планировании и осуществлении защиты на

всех стадиях жизненного цикла информационных систем;

- обеспечить проведение работ в сжатые сроки;

- представить обоснование для выбора мер противодействия;

- оценить эффективность контрмер;

- сравнить различные варианты контрмер.

В ходе работ должны быть ус тановлены границы исследо -

вания. Для этого необходимо выделить ресурсы информационной

системы, для которых в дальнейшем будут получены оценки

рисков. При этом предстоит разделить рассматриваемые ресурсы и

внешние элементы, с которыми осуществляется взаимодействие.

Ресурсами могут быть средства вычислительной техники,

программное обеспечение, данные, а также в соответствии со ст. 2

Федерального закона «Об информации, информатизации и защите

информации» - информационные ресурсы - отдельные документы

и отдельные массивы документов, документы и массивы

документов в информационных системах (библиотеках, архивах,

фондах, банках данных, других информационных системах).

Примерами внешних элементов являются сети связи (ст. 2

Федерального закона «О связи»), внешние сервисы и т.п.

При построении модели необходимо учитывать взаимосвязи

между ресурсами. Например, выход из строя какого-либо обо-

рудования может привести к потере данных или выходу чз строя

другого критически важного элемента системы. Подоб ные

взаимосвязи определяют основу построения модели орга низации с

точки зрения информационной безопасности.

Эта модель, в соответствии с предлагаемой методикой, стро -

ится следующим образом: для выделенных ресурсов опреде ляется

их ценность, как с точки зрения ассоциированных с ними

возможных финансовых потерь, так и с точки зрения ущерба

репутации организации, дезорганизации ее деятель ности,

нематериального ущерба от разглашения конфиденциальной

информации и т.д. Затем описываются взаимосвязи ресурсов,

определяются угрозы безопасности и оцениваются вероятности их

реализации.

На основе построенной модели можно обоснованно выб рать

систему контрмер, снижающих риски до допустимых уровней и

обладающих наибольшей ценовой эффективностью. Частью

системы контрмер будут рекомендации по проведению регулярных

проверок эффективности системы защиты.

Обеспечение повышенных требований к информационной

безопасности предполагает соответствующие мероприятия на всех

этапах жизненного цикла информационных технологий.

Планирование этих мероприятий производится по заверше нии

этапа анализа рисков и выбора контрмер. Обязательной составной

частью этих планов является периодическая про верка

соответствия существующего режима информационной

безопасности политике безопасности, сертификация инфор-

мационной системы (технологии) на соответствие требованиям

определенного стандарта безопасности.

По завершении работ, можно будет определить меру га рантии

безопасности информационной среды, основанную на оценке, с

которой можно доверять информационной среде объекта. Данный

подход предполагает, что большая гарантия следует из

применения больших усилий при проведении оценки безопасности.

Адекватность оценки основана на вовлечении в процесс

оценки большего числа элементов информационной среды

объекта, глубине, достигаемой за счет использования при про-

ектировании системы обеспечения безопасности большего чис ла

проектов и описаний деталей выполнения, строгости, ко торая

заключается в применении большего числа инструмен тов поиска и

методов, направленных на обнаружение менее очевидных

уязвимостей или на уменьшение вероятности их наличия.

5.7 Формирование организационной политики безопасности

Прежде чем предлагать какие-либо решения по системе

информационной безопасности, предстоит разработать поли тику

безопасности. Организационная политика безопасности описывает

порядок предоставления и использования прав до ступа

пользователей, а также требования отчетности пользователей за

свои действия в вопросах безопасности. Система информационной

безопасности окажется эффективной, если она будет надежно

поддерживать выполнение правил политики безопасности, и

наоборот. Этапы построения организационной политики

безопасности это внесение в описание объек та автоматизации

структуры ценности и проведение анализа риска, и определение

правил для любого процесса пользования д анным видом доступа к

ресурсам объекта автоматизации, имеющим данную степень

ценности.

Организационная политика безопасности оформляется в виде

отдельного документа. Прежде всего, необходимо соста вить

детализированное описание общей цели построения сис темы

безопасности объекта, выражаемое через совокупность факторов

или критериев, уточняющих цель. Совокупность факторов служит

базисом для определения требований к системе (выбор

альтернатив). Факторы безопасности, в свою оче редь, могут

распределяться на правовые, технологические, технические и

организационные [59].

Требования гарантии достигаемой защиты выражаются через

оценки функций безопасности системы информационной

безопасности объекта. Оценка силы функции безопасности

выполняется на уровне отдельного механизма защиты, а ее

результаты позволяют определить относительную способность

соответствующей функции безопасности противостоять

идентифицированным угрозам. Ис ходя из известного потенциала

нападения, сила функции защиты определяется, например,

категориями «базовая», «средняя», «высокая». Потенциал

нападения определяется путем экспертизы возможностей,

ресурсов и мотивов побуждения нападающего.

Перечень требований к системе информационной безопас-

ности, эскизный проект, план защиты (далее — техническая

документация), содержит набор требований безопасности ин-

формационной среды объекта, которые могут ссылаться на

соответствующий профиль защиты, а так лее содержать тре-

бования, сформулированные в явном виде.

В общем виде разработка технической докуме нтации вклю-

чает:

- уточнение функций защиты;

- выбор архитектурных принципов построения системы

информационной безопасности;

- разработку логической структуры системы информационной

безопасности (четкое описание интерфейсов);

- уточнение требований функций обеспечения гарантоспо-

собности системы информационной безопасности;

- разработку методики и программы испытаний на соот-

ветствие сформулированным требованиям.

На этапе оценки достигаемой защищенности производится

оценка меры гарантии безопасности информационной среды. Мера

гарантии основывается на оценке, с которой после выполнения

рекомендованных мероприятий можно доверять информационной

среде объекта. Базовые положения данной методики

предполагают, что степень гарантии следует из эффективности

усилий при проведении оценки безопасности. Увеличение усилий

оценки предполагает:

- значительное число элементов информационной среды

объекта, участвующих в процессе оценивания;

- расширение типов проектов и описаний деталей выполне ния

при проектировании системы обеспечения безопасности;

- строгость, заключающуюся в применении большего чис ла

инструментов поиска и методов, направленных на обнару жение

менее очевидных уязвимостей или на уменьшение ве роятности их

наличия.

5.8 Особенности разработки концепции безопасности

Для более глубокого понимания проблемы приведем не-

сколько факторов, позволяющих оценить особенности разра ботки,

качество и полноту уже разработанных концепций бе зопасности,

предлагаемых руководителям предприятий [89].

При формировании и реализации полноценной концепции

безопасности руководитель предприятия (или начальник службы

безопасности) должен провести анализ штатной структуры фирмы,

определить приоритетность своих сотрудников в зависимости от их

ценности для предприятия: квалифика ции, взаимозаменяемости,

степени осведомленности о деятельности организации, личного

вклада в общее дело, перспективности, доступа к финансам,

материальным и интеллекту альным ценностям. Без этого

невозможно защитить сотрудников от реальных угроз. Аналогично

следует поступить с материальными ценностями, недвижимостью и

транспортными средствами.

При определении приоритетов защиты необходимо иметь в

виду, что более всего нуждаются в защите те объекты и

материальные ценности, без которых предприятие не смо жет

работать или вообще прекратит свое существование. Для одних

это может быть компьютер с базой данных, для других - офисное

помещение, для третьих - транспортные средства.

В ходе разработки мер защиты информации следует учи -

тывать, что разработчики концепции совместно с руководителем

предприятия должны определить:

- какая информация подлежит обязательной защите в со-

ответствии с действующим законодательством;

- какая информация является коммерческой тайной и имеет

право на защиту;

- кто и при каких обстоятельствах имеет право д оступа к

перечисленным видам информации.

При анализе следует учитывать информацию, хранящуюся как

на бумажных носителях, так и в электронном виде. К объектам

защиты необходимо отнести и каналы приема-передачи

информации, уязвимые для технических средств перехвата. Не

следует забывать при этом, что персонал органи зации может быть

не только носителем, но и источником утеч ки информации.

То есть в организациях, имеющих конфиденциальную ин-

формацию, список объектов защиты будет достаточно вну-

шительным. В подобных случаях рекомендуется ранжировать

список информационных объектов защиты так же, как и

материальных: по степени возможного причинения ущерба

деятельности организации в случае воздействия на нее раз личных

видов угроз.

В концепции должны быть предусмотрены способы защиты от

реальных угроз, в том числе:

- организационные (административные, экономические,

юридические);

- технические (установка охранно-пожарной сигнализации,

использование систем контроля и управления доступом, при-

менение технических средств защиты информации, внедрение

интегрированных систем безопасности);

- физические (работа сторожей и контролеров, телохрани телей

и инкассаторов, служебных собак);

- оперативные (использование оперативных методов рабо ты,

оперативно-технических средств, например «полиграфа» для

входного контроля и периодической проверки лояльнос ти

персонала).

Концепция обязательно должна содержать объективную

оценку рентабельности системы безопасности в условиях ре ально

прогнозируемых угроз. Руководитель предприятия, принимая

решение о принятии и реализации концепции, должен точно знать,

за что он платит деньги, т. е. что конкретно дает ему тот или иной

элемент системы безопасности и какой ущерб он понесет при

отсутствии этого элемента в системе защиты в ситуации реальной

угрозы.

Таким образом, разумную верхнюю границу ассигнований на

реализацию концепции руководитель должен оценить сам путем

сопоставления убытков от реализации конкретной угрозы и затрат

на организацию защиты от этой угрозы (по аналогии с системой

страхования - сопоставление с трахового взноса и ущерба при

наступлении страхового случая). При этом необходимо иметь в

виду, что защита - это предотвращение угроз и несчастий, а

страхование - компенсация ущерба от последствия уже

произошедших несчастий и реализации угроз.

Наиболее рациональным с точки зрения экономии средств и

повышения ответственности исполнителя за результаты сво ей

работы является вариант, когда разработка концепции бе-

зопасности поручается организации, способной не только ста вить

комплексные оперативно-технические задачи по обеспечению

безопасности, но и успешно их решать, сдавая службе

безопасности предприятия в эксплуатацию «под ключ» пол ный

комплекс технических средств и мер безопасности, кото рый

сформирован в зависимости от выбранного перечня объектов

защиты и набора наиболее вероятных угроз, спо собных причинить

предприятию максимальный ущерб.

Критерием качества концепции безопасности, разработан ной

специализированным исполнителем, является возмож ность ее

использования не как жестк ой одновариантной конструкции, а как

саморазвивающейся системы, способной адап тироваться к новым

возникающим угрозам, оптимизировать затраты, повышать

эффективность деятельности предприятия.

Однако не следует забывать, что ни одна, система не спо собна

обеспечить требуемый уровень безопасности без надле жащей

подготовки службы безопасности и персонала организации, без

проведения обучения, тренировок, игр и учений.

5.9 Страхование информационных рисков

Деятельность любой организации так или иначе подве ржена

тем или иным угрозам и, соответственно, сопряжена с рисками их

осуществления. Развитие и распространение информационных

технологий кроме расширения возможностей и повышения

эффективности работы влечет за собой усиление зависимости от

информационно-телекоммуникационных систем и, как следствие,

меняет структуру предприниматель ского риска.

В частности, возрастает стратегический риск в связи с воз -

можностью ошибиться в отношении выбора того или иного

информационно-технологического направления.

Увеличивается операционный риск в связи с возможными

сбоями в информационных системах при выполнении дело вых и

управленческих операций. Возрастают также правовой,

репутационный и системный риски. Правовой риск воз растает в

связи с отс таванием нормативной базы от развития

информационных технологий. Репутационный риск возрас тает в

связи с распространением информации о сбоях и про блемах,

связанных с используемыми новыми информацион ными

технологиями, даже если они происходят не в данной организации,

а при использовании подобных систем где-то в другом месте.

Системный риск относится к сфере деятельнос ти (отрасли) в

целом и является поводом для беспокойства организаций,

ответственных за ее состояние. Отмеченное уси ление зависимости

результатов работы организаций от работы информационных

систем требует соответствующего обеспечения информационной

безопасности [14].

Обеспечение безопасности предпринимательской и управ-

ленческой деятельности имеет целью снижение рисков, с которыми

связано ее ведение, до некоего приемлемого уровня. Результаты

работы определяются не наличием рисков, а тем, насколько

успешно руководство предприятий и организаций оценивает их и

принимает меры по их снижению.

Какие меры могут быть приняты для компенсации возра стания

рисков в связи с развитием информационных технологий? Обычной

рекомендацией является обеспечение адек ватного уровня

безопасности в с фере информационных тех нологий

(информационной безопасности). Однако здесь воз никает вопрос:

что считать адекватным? Абсолютной безо пасности не существует,

кроме того, меры и средства безопасности требуют затрат и

постоянной модернизации. Как сопоставить конкретные затраты с

возможными (совсем не обязательными) потерями?

Принятие мер безопасности можно дополнить другой ме рой

компенсации рисков страхованием информационных ресурсов. Эта

услуга пока еще медленно, но все-таки пробивает себе дорогу в

России. Ее развитие сдерживается во многом из -за

несовершенства методик оценивания стоимости информационных

ресурсов и рисков. Одной из причин э того является то, что

статистика происшествий неполна и недостоверна. По имеющимся

оценкам, большая часть инцидентов, связанных с нарушениями

информационной безопасности, не предается огласке. Другая

причина заключается в отсу тствии единой системы оценки

состояния защищенности информационной системы организации.

Не совсем понятно, каким требованиям должна удовлетворять

система обеспечения информационной безопасности с учетом ее

стоимости и рисков потерь. Следствием этого является высокая

стоимость данной страховой услуги, вытекающая из экспертной

оценки «с запасом».

Выход представляется в более тесной увязке условий стра -

хования с оценкой состояния защищенности информационной

системы организации. Если найти такие условия, кото рые были бы

выгодны всем участникам процесса, то пред приятия и организации