Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности

Подождите немного. Документ загружается.

3.3.2. Элементы информации, требующие защиты

Интуитивно ясно, что информация, такая как ведомости по зарплате,

предложения поставщиков и списки потребителей, имеет ценность и требует

определенной конфиденциальности. Из опыта и на основе здравого смысла

известно, что имеются данные, которые разумные люди не хотели бы

раскрывать. Можно также сделать интуитивные предположения об

информации, которая имеет значение для конкуренции. Однако для

руководства решения относительно ценности информации следует

принимать на основе более формальной модели.

Эта модель ценности основана на двух критериях:

1. Какой вред производственным операциям будет нанесен, если

информация окажется известной лицам, неавторизованным для ее

получения?

2. Какой вред производственным операциям будет нанесен, если

информация окажется недоступной или недостаточно целостной?

Перед тем, как оценить наши основные элементы информации в

предлагаемой модели, следует установить оценку или схему классификации.

А именно, для принятия решения не желательно, чтобы в качестве результата

получалось, что данная часть информации является «наиболее ценной» или

«наименее ценной». Более удобно иметь набор классификационных имен,

поддержанных точными определениями, которые будут показывать всем

сотрудникам шкалу ценности элементов информации, и, следовательно,

количество усилий, необходимых для контроля за каждым элементом.

Классификация информации устанавливает базис для всей деятельности в

области информационной безопасности.

Модель значений может быть развита далее, для того чтобы сделать

классификацию более конкретной. В этом поможет определение

субъективной и объективной ценности информации.

Какой ущерб для производства будет нанесен из-за самой информации,

если она окажется раскрытой, поврежденной или недоступной? Это –

субъективная ценность. Например, раскрытие или уничтожение перечня

потребителей или производственных спецификаций может означать для

предприятия затруднение или потерю части рынка, или утрату

стратегического преимущества. Здесь ущерб возникает из качеств, присущих

самой информации.

Какой ущерб для производства будет нанесен вследствие внешних

причин, если информация окажется недоступной или с ненадлежащей

целостностью? Это – объективный критерий, зависящий от событий или

спецификаций вне самой информации. Например, если финансовые

документы, которые по закону должны храниться в течение ряда лет,

окажутся утраченными, предприятие может подвергнуться преследованию по

закону.

Отдельные элементы информации согласно этой модели попадают в

обе категории. Например, ведомости по персоналу, в которых указаны суммы

компенсации сотрудникам, имеют субъективную и объективную ценность.

3.3.3. Классификационная политика в области информации

Классификационная политика должна указать классификационные

имена и критерии для информации, так чтобы решения по ценности

информации (согласно списку основных элементов информации) были

свободными от противоречий и достаточно строгими. Далее предлагаются

соответствующие спецификации. Замечание: метки конфиденциальности,

используемые здесь, приводятся только в качестве примеров; другие,

используемые на предприятиях, включают «Ограничено производственной

сферой», «Для регистрации», «Приватно». Не следует применять грифы

государственной классификации, такие как «Секретно», «Особой важности»

и т.п.

Определения классификаций, приведенные здесь, являются краткими и

приняты только в качестве иллюстрации. Руководство предприятия,

несомненно, должно разработать более полные и всеобъемлющие описания

для эффективной деятельности в области классификации.

Однократно разработанный список элементов информации создает

основу для принятия решений по информационной безопасности. Некоторые

элементы (особенно, имеющие метку высокой степени защиты) потребуют

интенсивных усилий со стороны руководства. Другие, согласно списку

базовых элементов информации, будут требовать средних усилий по

безопасности; иные могут вообще не засекречиваться, ограничиваясь

периодическим напоминанием сотрудникам о том, что «вся информация

предприятия является приватной для предприятия».

Таблица 1

Пример классификационной политики в области информации

Метка конфиденциальности

Субъективные

классификации

Для служебного

пользования

Конфиденциальная Персональная

Определение Раскрытие может

нанести в перспективе

ущерб экономике

предприятия

Раскрытие может

нанести серьезный

ущерб экономике

предприятия

Раскрытие может

негативно повлиять на

сотрудников или

претендентов на

должность

Объективные

классификации

На хранении На текущем контроле

Определение Ненадлежащее качество

может привести в

перспективе к

серьезным правовым

или экономическим

последствиям

Ненадлежащее качество может оказать влияние на

производственную сферу

3.3.4. Организация и ответственность в области управления

информацией

Концептуально, управление информацией есть важная повсеместная

программа внутри предприятия, контролируемая на высших уровнях

руководства. Однако на практике программы обычно начинают с более

ограниченных усилий. Части программы управления информацией могут

быть восприняты и приспособлены к конкретной производственной

ситуации. Необходимо следовать важнейшему правилу:

Элемент информации должен быть защищен во всех своих формах,

постоянно и на любом месте. Иначе усилия напрасны.

В целом, организация должна иметь три уровня. Отношения отчетности

не важны на данном этапе обсуждения; значение имеют только функции.

Высший уровень – руководитель по информации определяет структуру

основных элементов информации для производства; определяет схему

классификации информации; идентифицирует для каждого элемента

информации его обладателя, который производит засекречивание и

принимает решения относительно авторизованного доступа; выполняет

исполнительный контроль над информационным ресурсом производства.

Средний уровень – администратор данных устанавливает структуру

административного контроля по управлению основной информационной

базой; через администратора баз данных фиксирует оптимальное

размещение данных на центральных базах данных (чему может

способствовать публикация словаря данных, который описывает создание

элементов данных и стандартные процессы их получения из баз данных).

Администратор безопасности устанавливает требования по защите

информации, применимые для предписанных классификаций информации;

консультирует технических работников информационных систем по методам

безопасности и отдельным элементам в объеме всей информационной

системы предприятия, включая сети; участвует в планировании процессов

для сетей и систем.

Низший уровень – специалист по информационной безопасности

выполняет меры защиты, требуемые для аппаратных и программных средств.

Эта функция может быть реализована в рамках вычислительного центра, в

функциональных подразделениях или совместно.

3.3.5. Меры безопасности, поддерживающие управление информацией

Политика руководства – это краткое утверждение установленных

требований и целей управления. Она требует тщательной мотивировки и

изложения, так как должна быть стабильной, длительной директивой,

которая в сжатом виде направляет указания руководства по тому, что следует

делать. Образец приводится далее. Детали применения (как выполнить все

это) публикуются в стандартных положениях, для краткости, стандартах.

Стандарты доносят политику руководства до всех подчиненных.

Убедительное, эффективное и согласованное применение политики

руководства достигается с помощью опубликования и поддержки текущих

положений по информационной безопасности.

Основу функций по организации управления информацией формируют

директивы по безопасности. Реальная защита зависит от индивидуальных

сотрудников на рабочих местах, которые получили расширенный доступ к

ценным производственным информационным ресурсам. В главе 6

обсуждается подготовка и мотивация сотрудников по выполнению правил

информационной безопасности.

3.3.6. Пример руководящих указаний по информационной безопасности

Политика представляет собой фундамент любого усилия по защите

информации. Для того чтобы позволить обращаться к ней в течение

длительного периода, она должна быть опубликована в определенной форме,

например, в сборнике стандартов предприятия. Можно сопоставить

следующие указания с программными требованиями, которые только что

обсуждались.

Введение

Защита производственной информации предприятия является

важнейшей задачей для дальнейшего роста и эффективной конкуренции.

Определенная производственная и техническая информация

классифицируется как «Для служебного пользования», «Конфиденциальная»

или «Персональная». В каждом случае такая информация должна иметь

соответствующую метку. Эта информация должна защищаться от

распространения и утечки на основе четкого представления о ее значении,

избегания неосторожных бесед, практики чистых столов, ограничения

раскрытия для внешних сторон и избегания широкого распространения

внутри предприятия. Публикация в СМИ, сводки финансовой информации и

комментарии по юридическим вопросам подпадают под приведенные

ограничения.

Техническая информация и информация по новой продукции

подвергается дополнительным ограничениям, наиболее важное из которых –

предварительное одобрение руководства для ее опубликования.

Безопасность электронной информации вследствие уникальных

операционных характеристик и присущего ей внутреннего риска требует

дополнительных мер. Они подробно раскрываются в «Положении по сетевой

безопасности».

Политика

Данная политика устанавливает ответственность штата предприятия по

безопасности, вертикали руководства и координаторов по безопасности.

Подробная информация приводится в стандартах по безопасности, которые

публикуются отдельно. Областью применения являются все операции

предприятия.

1. Адекватные средства будут использованы для защиты следующей

информации:

- производственной и технической информации, являющейся

собственностью предприятия;

- персональных данных, касающихся претендентов, сотрудников и бывших

сотрудников;

- принадлежащей предприятию информации о поставщиках по

контрактным соглашениям.

2. Операции предприятия:

- Развитие организации по применению политики в области безопасности.

- Разработка, опубликование и применение планов по информационной

безопасности с целью достижения точного соблюдения политики.

- Предложение руководящих указаний, стандартов и процедур,

необходимых для выполнения локальных требований и юридических норм.

- Получение обзоров, а также полных и согласованных планов по

выполнению мер информационной безопасности от штата предприятия по

вопросам безопасности.

- Проведение оперативных обзоров в подразделениях по согласованию.

- Распознавание и исправление проблемных ситуаций.

- Сообщение о значительных изъянах и компрометациях в области

информационной безопасности в отдел безопасности предприятия.

- следить за применением правил и программ по информационной

безопасности.

3. Координаторы по безопасности:

- полностью владеют политикой и руководствами по безопасности;

- консультируют руководителей подразделений по вопросам безопасности;

- выполняют задачи и программы, предлагаемые в «Руководстве

координатора по безопасности» и при необходимости другие специальные

поручения.

4. Список публикаций предприятия по информационной безопасности:

- Руководящие указания и стандарты предприятия.

- Руководство координатора по безопасности.

- Руководство для персонала.

- Сборник указаний по работе с информацией.

- Справочник по безопасности предприятия (стандарты).

3.4. Качественное проектирование системы

Руководители и сотрудники обязаны:

- гарантировать приверженность данной политике и вспомогательным

процедурам;

- обеспечивать безопасность материалов, классифицированных

предприятием, в согласии с установленными указаниями и процедурами;

- гарантировать, что вся совокупность директив и стандартов по

безопасности будет доведена до сведения сотрудников и персонала,

работающего временно или по контракту;

- назначать в необходимых случаях координаторов по безопасности;

Проектирование системы должно включать в себя как

автоматизированные, так и ручные процессы. Спонсор функционального

приложения (или обладатель данных) должен определить ценность или схему

классификации обрабатываемой информации. Затем системный аналитик

должен обеспечить контроль, соответствующий прикладной задаче (т.е.

когда, где и каким образом должна использоваться эта информация) и

ценности данных. Средства контроля должны обеспечивать эффективную

целостность и точность при переходе от процесса к процессу, контрольные

проверки и средства оперативного наблюдения и управления.

Проектирование системы, как в автоматизированном, так и в ручном режиме,

должно давать уверенность, что вышеупомянутые характеристики качества

информации поддерживаются по всему циклу ее обработки.

В современной производственной среде, где сети, обычно,

представляют интегральную часть в большинстве приложений, планы по

безопасности должны охватывать все уязвимые участки, включая риск,

возникающий при передаче по линиям связи. В локальных или

индивидуально спроектированных системах разработчик должен учитывать

возможные угрозы качеству данных из-за неправильной адресации

(например, использование списков рассылки, которые могут быть

ошибочными) или плохого процесса сбора информации; от использования

недоброкачественного программного обеспечения, которое может содержать

случайные или преднамеренные погрешности; и от ошибок проектирования,

которые могут компрометировать достоверность информации относительно

планируемых целей управления (например, два человека могут написать

программы, которые дают корректные, но разные ответы на одном и том же

множестве данных).

Проектировщики систем должны понимать значение качества

информации; исходя из этого, они должны знать ценность информации и

вытекающие из нее требования для предприятия, для конкретного

приложения, для сети и для конечных пользователей.

3.5. Эффективное управление и контроль

Оперативное управление включает заботу о подборе, обучении и

мотивации сотрудников; тщательное проектирование, испытание и внедрение

приложений и сетевых систем; эффективное наблюдение за сбором

информации, ее обработкой на вычислительном центре и на рабочем месте и

за сетевыми операциями (как локальными, для ЛВС, так и более широкими),

включая арендуемые сети; эффективное наблюдение за использованием

сотрудниками сетевых рабочих станций; удаление устаревшей или не

относящейся к делу информации, часть которой может быть локализована в

электронных файлах (возможно, на файл-серверах) и оказаться недоступной

для обычных процедур по контролю за хранимыми записями. На

большинстве предприятий не учитывают потенциальные проблемы,

обусловленные файловым хранением больших объемов производственной

информации, с присущей ему стоимостью и возможным риском раскрытия.

Оперативный контроль включает ряд важных мер, таких как ясную

политику и указания руководства в области информации, систематизацию

работы, проверку новых или модернизированных систем относительно

принятых положений по работе в системах или сетевой среде, правильные

указания и мотивировку со стороны опытного персонала во всех рабочих

ситуациях и периодическую объективную ревизию. При использовании

сетевых рабочих станций руководство не может постоянно считать

достаточными контрольные требования. Производственные отношения

требуют систематического наблюдения за информированными

сотрудниками, которые могут создавать или обрабатывать информацию в

различное время и в разных местах. Некоторые сотрудники, использующие

сетевой доступ к информации, являются профессионалами. Другие – просто

регулярно выполняют рутинные операции, требующие поверхностного

надзора. Необходимы постоянные усилия по обучению и мотивации

сотрудников. Эффективный контроль обеспечивается только в случае, когда

сотрудник убежден в необходимости следовать практике предприятия и

считает, что это, в каком-то смысле, в его интересах. Средства мотивации

рассмотрены в главе 7.

3.6. Сети и безопасность рабочих станций

Для поддержания качества информации в случае индивидуальной

работы сотрудников на сетевых устройствах необходимы дополнительные

меры. Меры безопасности должны соответствовать ценности информации

или классификационной схеме и учитывать конкретную ситуацию, в которой

информация обрабатывается, передается или используется. Меры

безопасности состоят из одного и более элементов безопасности.

Элементы безопасности разделяются на три уровня или группы:

физические, организационно-правовые и технические. Для правильного

обеспечения сетевой информационной безопасности следует сочетать

элементы из всех групп. Успешное проектирование меры безопасности в

данной сетевой ситуации сведет до минимума реальное или предполагаемое

вмешательство или осложнение для производственной операции. Целью

является решение вопроса по сетевой безопасности, с возможной

практической и экономической точки зрения согласующееся с мерами

безопасности для соответствующего грифа секретности, наложенного на

информацию в письменной форме. Безопасность должна рассматриваться по

всему циклу проектирования, внедрения и функционирования сетевой

системы. Для каждой операции системы должна быть разработана

подходящая мера безопасности, использующая наилучшую возможную

комбинацию элементов безопасности, соответствующих производственной

среде.

Контрольные вопросы

1. Поясните, почему руководитель предприятия должен принять обязательства

по управлению информационным ресурсом предприятия?

2. Почему цели и обязательства в области управления информацией должны

определяться в отдельном документе, таком как политика предприятия?

3. Каким образом руководство предприятия может определить основную

информационную базу и установить ценность элементов информации?

4. Что собой представляет классификационная политика на предприятии?

5. Как распространяются на предприятии основы безопасной работы с

информацией?

6. Что собой представляет общий порядок работы с конфиденциальной

информацией на предприятии?

7. Почему необходимо назначить руководителей, ответственных за выполнение

мер безопасности?

8. В чем преимущество концепции владельца информации для каждого

важного информационного объекта?

9. Кто должен принимать решения по классификации информации?

10. Как должна классифицироваться новая информация или новое сочетание

существующих данных предприятия?

11. Что собой представляет контроль важных элементов информации по всему

циклу их обработки?

12. Как должны выполняться операции в случае форс-мажорных обстоятельств,

повредивших инфраструктуру обработки данных или устройства их хранения?

13. Закончив учебное заведение, вы получаете место директора

университетского компьютерного центра, который базируется на большом

сервере локальной сети с операционной системой UNIX. Внезапно поступает

сообщение о том, что какие-то студенты обнаружили алгоритм, которым

шифруются пароли, и поместили его в Интернет. Какие будут ваши действия?

14. Должен ли руководитель по безопасности нести ответственность за

безопасность информации в любых формах или только за безопасность

компьютерной информации?

15. Доверенное ПО системы поддерживает мандатный контроль и управление

доступом. Необходимо разработать программу – драйвер принтера. Объясните