Садердинов А.А. Информационная безопасность предприятия

Подождите немного. Документ загружается.

шения: одно, связанное с СВТ, и другое — с А С.

Дело в том, что СВТ разрабатываются и поставляются на р ынок

лишь как элементы, из которых в дальнейшем строятся функцио-

нально ориентированные АС, и поэ тому, не решая прикладных за-

дач, СВТ не содержат, как правило, пользовательской информации.

При создании же АС, помимо пользовательской информации

появляется нужда в таких характеристиках А С, как полномочия

пользователей, модель нарушителя нормального функ-

ционирования АС, техно логия обработки информации.

При разработке эффективной защиты ЛВС и ИИСУП не-

обходимо ориентироваться на достиже ние таких целей, как:

■ обеспечение конфиденциальности и це лостности дан ных в

хо де их хранения, обработки или при передаче по ЛВС;

■ обеспечение доступности данны х, хранимы х в ЛВС, а также

возможности их своевременной обработки и передачи;

■ гарантирование идентификации отправителя и получа теля

сообщений.

2. Политика информационной безопасности

[^]

2.1. Политика информационной безопасности России

[^]

В сфере национальных интересов России находится ряд про-

блем, показанны х на рис. 1. Безусловно, что все они кор релируют

в той или иной с тепени между собой, однако нас в основном инте-

ресует информационная сфера.

Рис. 1. Сферы национальных интересов России

Национальные интересы России в информационной сфере

представлены на рис. 2, где нас более всего интересует блок 3,

представляю щий направление по обеспечению безопасности и за-

щиты информационных и телекоммуникационных систем России.

На рис. 3 в информационно-те хническом блоке подробно пред-

ставлены направления, содержащие как объекты воздей-ствия,

влияния и защиты, так и характер воздействия и угроз, которые в

результате составляют основные комплексные по следствия.

Рис 2 Национальные интересы России в информационной сфере

Пути и решения проблем информационной безопасности Ро с-

сии, показанные на рис. 4, содержат три блока: организа ционный,

законодательный и техно логический. Такие же три блока должны

составлять сущность концепции информационной безопасности

предприятия.

Рис 3 Информационная борьба

Рис 4 Пути решения проблем информационной безопасности России

2.2. Описание трехуровневой политики информаци-

онной безопасности [^]

Под политикой информационной безопасности понимается со-

вокупность документированны х управленческих решений, направ-

ленных на защиту информации и ассоциированны х с ней ресурсов.

С практической точки зрения политику безопасности це-

лесообразно разделить на три уровня.

К вер хнему уровню можно отнести решения, затрагиваю щие

организацию в целом. Они носят весьма общий характер и, как

правило, исходят от руководства организации. Примерный список

подобных решений может включать в себя:

■ формирование или пересмотр самой комплексной про -

граммы обеспечения информационной безопасности, на-

значение ответственных за реализацию этой программы;

■ формулировку целей в области информационной безо-

пасности и опре деление общих направлений их достиже ния;

■ обеспечение те хнической базы для соблюдения соответ -

ствующих законов и правил;

■ формулировку управленческих решений по тем вопросам

реализации программной безопасности, которые должны рас-

сматриваться на уровне организации в целом. На политику

вер хнего уровня влияют цели организации

в области информационной безопасности: они формулируются, как

правило в терминах целостности, доступности и кон-

фиденциальности. Если организация отвечает за поддержание кр и-

тически важны х баз данных, то на первом плане может стоять

уменьшение случаев потерь, повреждений или искаже ний данных.

Для организации, занимающейся предоставле нием услуг, вероятно,

важна актуа льность информации об этих услугах и их ценах, а

также доступность услуг максималь ному числу потенциальных

покупателей.

Режимная организация в первую очередь заботится о защи те от

несанкционированного доступа — конфиденциальности.

На верхний уровень выносится управление ресурсами защиты и

координация их использования, выделение специального персона-

ла для защиты особо важных систем, поддержание кон-тактов с

другими организациями, обеспечивающими или кон-

тролирующими режим безопасности.

Сфера политики верхнего уровня должна быть четко очерчена.

Возможно, это бу дут компьютерные системы самой организации, а,

возможно, и некоторые аспекты использования домашних компью-

теров у сотрудников этой организации. Можно представить себе, и

такую ситуацию, когда в сферу влияния включаются лишь отдель-

ные наиболее важные системы политики информационной безо-

пасности предприятия.

Выработка программы информационной безопасности вер хнего

уровня и ее осуществление - это задача определенных до лжност-

ных лиц, за выполнение ко торой они должны регулярно отчиты-

ваться. Наконец, политика информационной безопасности верхне-

го уровня, разумеется, должна впи сываться в существующие зако-

ны государства, а ч тобы быть уверенными в том, что ей точно и

аккуратно следует персонал предприятия , целесообразно разраб о-

тать систему соответствующих поощрений и наказаний. А вообще-

то говоря, на вер хний уровень следует выносить минимум вопр о-

сов.

К среднему уровню можно отнести отдельные аспекты ин-

формационной безопасности, важные однако для различных сис-

тем, эксплуатируемых организацией.

Примеры таких вопросов — отношение к передовым, но еще

недостаточно освоенным технологиям, перечисленным ниже:

1. Доступ в Internet (как сочетать свободу получения ин-

формации с защитой от внешних угроз?).

2. Использование домашних компьютеров.

3. Применение пользователями неофициального про граммного

обеспечения и т. д.

Политика среднего уровня по каждому подобному аспекту

предполагает выработку соответствующею документирован ного

управленческого решения, в котором обычно имеются:

■ Описание аспекта. Например, если взять применение по ль-

зователями неофициального программного обеспечения, то о

нем обязательно до лжно быть сказано, что это та кое обеспече-

ние, которое не было одобрено и/или закупле но на уровне орга-

низации.

■ Указание на область ее применения (распространения той

или иной политики информационной безопасности). Другими

словами должно быть сертифицировано, где, когда, как, по о т-

ношению к кому и чему применяется данная по литика безопас-

ности. Например, касается ли организаций -субподрядчиков по-

литика отношения к неофициальному программному обеспеч е-

нию? Затрагивает ли она работников, пользующихся портатив-

ными и домашними компьютерами и вынужденных переносить

информацию на производственные машины?

Продолжая пример с неофициальным программным обеспеч е-

нием, можно представить себе позиции полного за прета или выра-

ботки процедуры приемки подобного обеспечения и т. п. Позиция

может быть сформулирована и в гораздо более общем виде, как

набор целей, которые преследу ет организация в этом случае. Во-

обще, стиль документов по политике безопасности, как и перечень

этих документов, может быть существенно разным для разных о р-

ганизаций.

■ Четкое расписание соответствующих ролей и обязанно-

стей. В «политический» документ необ хо димо включить инфор -

мацию о должностных лицах, отвечающих за проведение поли-

тики безопасности в жизнь. Например, если для ис пользования

работником неофициального программного обеспечения нужно

официальное разрешение, то должно быть известно, у кого и как

его следует получать. Если долж ны проверяться дискеты, при-

несенные с других компьюте ров, необходимо описать процеду-

ру проверки. Если неофициальное программное обеспечение

использовать нельзя, следует знать, кто следит за выполнением

данного правила.

■ Механизм обеспе чения «законопослушности». Политика

должна содержать общее описание запрещенны х действий и на-

казания за них.

■ Указания на необходимые « точки контакта». До лжно быть

точно известно, куда следует обращаться за разъяснениями, по-

мощью и дополнительной информацией. Обычно «точкой ко н-

такта» служит должностное лицо, а не конкретный человек, за-

нимающий в данный момент какой-то пост.

Политика безопасности нижнего уровня относится к конкрет-

ным сервисам. Она включает в себя всего два аспекта — цели и

правила их достижения, поэтому ее порой трудно отделить от во-

просов реализации (оказания услуг по информационному обеспе-

чению). В отличие от двух верхних уровней, рассматриваемая по-

литика нередко бывает гораздо более де тальной. Есть много вопро-

сов, специфичных для отдельных сервисов, которые нельзя единым

образом регламентировать в рамках всей организации. В то же

время эти вопросы настолько важны для обеспечения режима безо-

пасности, что решения, относящиеся к ним, должны приниматься

на управленческом, а не техническом уровне. Вот лишь несколько

примеров-вопросов, на которые следует да ть ответ при разработке

политики безопасности нижнего уровня:

■ Кто имеет право доступа к объектам, поддерживаемым сер-

висом?

■ При каких условиях можно читать и модифицировать да н-

ные?

■ Как организован удаленный доступ к сервису?

При формулировке целей политика нижне го уровня может ис-

хо дить из соображений целостности, доступности и конфи-

денциальности, но она не должна на это м останавливаться. Ее це ли

должны быть конкретнее. Например, если речь идет о си стеме рас-

чета зарплаты, можно поставить цель, чтобы только работникам

отдела кадров и бу хгалтерии позволялось вводить и модифицир о-

вать информацию. В более общем случае цели до лжны связывать

между собой объекты сервиса и логичные с точки зрения информ а-

ционной безопасности, осмысленные, де йствия с ними.

Из целей обычно выводятся правила безопасности, описы-

вающие, кто, что и при каких условиях может делать. Чем де -

тальнее правила, чем более формально они изложены, тем проще

поддерживать их выпо лнение программно-техническими мерами.

С другой стороны, слишком жесткие правила могут мешать работе

пользователей, и, вероятно, их придется часто пересматривать. Ру-

ководству необходимо найти разумный компромисс, когда за при-

емлемую цену будет обеспечен приемлемый уровень безопасности,

а работники не окажутся чрезмерно скованы. Обычно, в виду осо-

бой важности данного во проса, наиболее формально задаются пр а-

ва доступа к объектам.

3. Характеристика угроз информационной

безопасности [^]

3.1. Классификация угроз [^]

Суть подобных угроз сводится, как правило, к нанесению того

или иного ущерба предприятию (организации).

Проявления возможного ущерба могут быть самыми раз-

личными:

■ моральный и материальный ущерб деловой репутации орга-

низации;

■ моральный, физический или материальный ущерб, связан-

ный с разглашением персональных данных о тдель ных лиц;

■ материальный (финансовый) ущерб от разглашения за-

щищаемой (конфиденциальной) информации;

■ материальный (финансовый) ущерб от необходимости во с-

становления нарушенных защищаемых информационных ре-

сурсов;

■ материальный ущерб (потери) от невозможности выпол нения

взятых на себя обязательств перед третьей стороной;

■ моральный и материальный ущерб от дезорганизации в рабо-

те всего предприятия.

3.2. Примеры составов преступлений в области ин-

формационного обеспечения предприятий, опреде-

ляемых УК РФ [^]

В соответствии с УК РФ преступлениями в об ласти инфор -

мационного обеспечения предприятий вполне можно считать такие

деяния, как:

■ Хищение информации — совершенное с корыстной целью

противоправное безвозмездное изъятие и (или) обра-щение чу-

жого имущества (информации) в пользу виновно го или других

лиц, причинившее ущерб собственнику или владельцу имуще-

ства (информации).

■ Копирование компью терной информации — повторение и