Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности

Подождите немного. Документ загружается.

создание файлов и документов, отправку, пересылку и получение

сообщений, хранение файлов и документов и так далее. Пункты матрицы

будут отличаться для разных предприятий, но сама матрица является

важной, поскольку позволяет видеть инструкции по безопасности, которые

должны быть включены в стандарты, для того чтобы быть уверенными в их

полноте.

Таблица 4

Требования к полноте эффективных стандартов по безопасности

Процесс

Директор

(инженер, секретарь и т.д.)

Обмен сообщениями

Шифрование очень важных

сообщений

Работа с файлами Защита паролем

Создание документов Не применяется

Маркировка важной

информации

Создание меток

Использование списка

рассылки, САПР и т.д.

Не применяется

Окончательно, полные стандарты должны обеспечить необходимый

инструментарий для контроля. Инспекторы вправе ожидать, что сотрудники

следуют разумным, опубликованным правилам, которые непосредственно

связаны с их работой.

6.1.2. Стандарты должны быть доступными

Возможно, что это покажется довольно глупым требованием, но часто

многие сотрудники заявляют, что довольно сложно найти тот документ или

то место, где конкретно указано, что они должны делать по безопасности на

своем рабочем месте. Это – слабое оправдание, но хорошая программа по

безопасности должна устранить все оправдания тем, что делает правила

легко доступными везде, где работают сотрудники предприятия. Получение

стандартов по безопасности должно быть в такой форме и таким способом,

который наиболее удобен в рабочей обстановке. Например:

- Стандарты по безопасности должны быть в общедоступном файле в сети

(сетях) для сотрудников, работающих на настольных рабочих станциях или

персональных компьютерах. Для таких людей удобнее всего читать

стандарты по безопасности непосредственно из файла. Если стандарты

предложены группой пользователей, то этот метод размещения является

наиболее удобным.

- Стандарты по безопасности могут быть опубликованы в издании

карманного формата и вручены при назначении на работу. Людям нравится

брать в руки привлекательно оформленную печатную продукцию. Возможно,

что она сразу же будет просмотрена.

- Стандарты по безопасности могут распространяться через руководство

групп или подразделений, например, для всех инженеров через старшего

инженера. Используя для доставки вертикаль руководства (сверху вниз),

можно сделать важной любую инструкцию. Когда начальник вручает

директиву, маловероятно, чтобы она сразу же была бы отвергнута.

- Каждый руководитель по безопасности должен иметь справочник

предприятия по безопасности. Ключом к пониманию должно быть

непосредственное объяснение требования по безопасности. Координаторы и

руководители по безопасности должны быть готовы ответить на вопрос или,

в трудных случаях, найти на него ответ.

Очень полезной является концепция координатора по безопасности.

Координатор по безопасности, сотрудник с более широкими полномочиями в

области безопасности, может обеспечить превосходный канал для

распространения стандартов и сообщений. На некоторых предприятиях

установлены специальные каналы распределения материалов по

безопасности для локальных координаторов, которые находятся наиболее

близко к производству.

Необходимо устранить причины, по которым люди не знают, что

ожидается от них. Хорошие стандарты должны быть всегда доступны для

тех, кто хочет получить информацию.

6.1.3. Стандарты должны быть полезными

Хорошо разработанные стандарты помогают сотрудникам, которые

хотят работать безопасным образом, определяя корректные способы защиты

информации. Однако, писать полезные стандарты нелегко. Полезные

стандарты не могут быть разработаны в центре или отделе безопасности,

скорее, они могут быть написаны людьми, которые имеют практический

опыт в различных областях производственной активности.

Стандарты по безопасности могут быть подготовлены комиссией,

представляющей различные рабочие группы, подразделения или виды

деятельности. Члены комиссии привносят свое знание оперативной практики

и производственных проблем в каждом подразделении или отделе. Они

являются гарантами того, что каждый стандарт будет «вписываться» в

оперативную среду конкретного предприятия. Как результат такого подхода,

стандарты представляют соглашение или компромисс по различным

позициям. Стандарты, которые на 100 процентов корректны в глазах

высшего руководства или вышестоящего персонала, конечно, могут

удовлетворять одних, но из этого не следует, что все им будут следовать

автоматически.

Хорошие стандарты обобщают весь положительный опыт, полученный

на предприятии. Например, некоторые руководители могут считать, что

пароли следует менять каждые 30 дней, но если это требование другие

группы сочтут необоснованным, то лучше принять компромиссное решение

– каждые 60 дней, чем правило, которое неизбежно будет игнорироваться

некоторыми группами.

Полезный стандарт – это такой стандарт, к которому большинство

сотрудников относится как к практическому руководству по работе с

информацией, создаваемой в оперативной среде или доступной в ходе

обычной производственной деятельности предприятия. Как будет показано

ниже, стандарты по безопасности, доступные в разных формах, позволяют

представить содержание таким образом, чтобы обеспечить действительно

полезные инструкции, связанные с текущей работой.

6.1.4. Стандарты должны быть согласованными

Эффективные стандарты по безопасности всегда согласованы с

другими руководящими указаниями и практической деятельностью

предприятия. Этот вопрос требует тщательного изучения. Например, на

большом производстве руководящими указаниями установлено, что

конфиденциальные документы не могут оставаться не востребованными на

столе более двух часов. После этого времени документы должны вернуться в

хранилище. Когда впервые были разработаны сетевые стандарты по

безопасности, то было решено, что терминальные устройства, подключенные

к сетям, должны автоматически отсоединяться от нее после максимального

времени в 30 минут. Это было отмечено, как несогласованность, теми, кто

утверждал, что дисплей в данных обстоятельствах не отличается от бумаги,

лежащей на столе (хотя дисплей труднее унести). В некоторых случаях

время отключения терминала, возможно, и должно быть меньше, но

жизненно важно иметь согласие между документами в письменной и

электронной форме. В конце концов, секретная информация доступна из

обоих источников. Стандарт для дисплеев был изменен с 30 минут до двух

часов.

Противоречивые инструкции или правила, которые имеют очевидные

расхождения, способны разрушить всякий интерес. Только согласующиеся

между собой стандарты могут рациональным образом воздействовать на

сотрудников.

6.1.5. Стандарты должны быть актуальными

Хорошо написанные руководящие указания (политика) предприятия не

должны пересматриваться чаще, чем раз в 5 лет. Если они часто

пересматриваются, то, возможно, в них присутствует большая примесь

процедур или стандартов. С другой стороны, стандарты должны регулярно

пересматриваться и обновляться. Минимальный цикл, основанный на

типичных технологических разработках и применениях в сегодняшней

производственной сфере, указывает на пересмотр стандартов каждые два

года. Примерами приложений, которые потребовали изменения стандартов,

служат использование ЛВС, загрузка данных в персональный компьютер,

радиоволновое излучение от дисплеев, а также применение САПР. Новые

технологии и приложения почти всегда способствуют критическому

обсуждению стандартов по безопасности. Если текущие стандарты по

безопасности не обеспечивают соответствующую степень защищенности, это

является серьезным просчетом.

Актуальность стандартов по безопасности означает, что сотрудники

найдут в них ответы на вопросы по современной экономической

деятельности, новым технологиям и установленным приложениям. Когда

предлагается новая сетевая технология или приложение, можно

опубликовать временный или предварительный стандарт до тех пор, пока в

очередном цикле не будет разработан постоянный.

6.1.6. Стандарты должны быть представлены в различных формах

Стандарты по безопасности должны быть опубликованы в отдельной

книге, такой как руководство по безопасности. Копии могут быть помещены

в руководство по операционным системам и в настольную книгу

руководителя по безопасности. Но копии стандартов не могут быть

эффективными для среднего сотрудника по двум причинам. Возможно, что

ему нет необходимости просматривать содержание стандартов полностью, и

у него не было удобного случая скопировать интересующие его листы.

Кроме того, информация вне переплета или электронного файла через

некоторое время теряется.

Следует опубликовать стандарты по безопасности, как буклеты, в

удобном формате, настольном или карманном. Изложение должно быть

направлено на конкретную аудиторию, например, папка или листовка,

озаглавленная “Руководство по безопасности для пользователей офисных

систем”. Буклеты или листовки могут относиться к особой части

оборудования общего применения, например, о том, как использовать

факсимильную передачу согласно требованиям безопасности. Такие буклеты

можно вручить вместе с инсталляцией оборудования.

В большой организации заслуживают внимания периодические

публикации, рассматривающие новые разработки по безопасности, темы,

проблемы и решения. Они стимулируют готовность и напоминают

сотрудникам о стандартах по безопасности. Плакаты, объявления и

канцелярские принадлежности (папки со специальными наклейками,

линейки с надписями и так далее) также представляют собой хорошее

средство напомнить сотрудникам о важности защиты информации.

Эффективные стандарты, содержащие важные сообщения, всегда

должны быть представлены в нескольких различных формах, позволяя

сотрудникам выбрать ту, которая наиболее подходит к их работе или

ситуации и будет постоянно напоминать об их обязанностях по защите

информации.

6.2. Устная форма

Сеть координаторов по безопасности, описанная ранее, является

хорошей средой для распространения материалов из стандартов. Люди

слушают равных себе более внимательно, чем кого-нибудь еще.

Координаторы по безопасности, являясь сотрудниками на рабочем уровне,

находятся в превосходном положении для распространения материалов по

безопасности, листовок и плакатов, и объяснения сотрудникам, почему так

важно их участие. Как только защита информации становится принятой на

практике большинством сотрудников, наблюдение со стороны окружающих

выполняет большую часть контроля. Например, на предприятии каждый

сотрудник знает, что информация предприятии не должна обсуждаться вне

места работы.

Некоторые предприятия имеют даже специальные стенды в

стратегических точках отдела, предназначенные только для плакатов по

безопасности.

Поддержка безопасной работы с информацией всеми сотрудниками в

процессе работы в сети или использовании информационных систем требует

от них подготовки и заинтересованности. Здесь важную роль играют

наблюдение и стандарты по безопасности. Последние, для того чтобы стать

эффективными, требуют обдумывания, труда и рекламы. Эффективные

стандарты по безопасности обладают рядом свойств, представленных в этой

главе. Создание комиссии является наилучшим способом разработки и

периодического обновления этих стандартов. Хорошие сетевые стандарты

помогают почувствовать наличие действительно эффективной безопасности.

Контрольные вопросы

1. Что должна определять политика безопасности предприятия?

2. Как учесть возможность допустимого риска?

3. Должны ли содержать стандарты по защите информации инструкции

относительно идентификации, классификации, пометке, обработке и защите

информации во всех ее формах, или достаточно ограничиться только

компьютерной информацией?

4. Какими свойствами должны обладать эффективные стандарты

предприятия по безопасности?

5. Какие вопросы должны быть отражены в стандартах по безопасности

относительно ресурсов предприятия (использования ресурсов, обязанностей

различных групп сотрудников, связь и обмен информацией с внешними

сторонами, использования ресурсов внешними сторонами)?

6. Что к этому можно добавить относительно производства и копирования

документов в подразделениях и центрах копирования?

7. Что представляет собой конфликт интересов и защита ментальной формы

информации?

8. Опишите роль на предприятии координаторов по безопасности.

9. Часто можно встретить следующую инструкцию для восстановления от

вирусной атаки:

а) загрузите зараженную систему;

б) заархивируйте все файлы на внешний носитель;

в) отформатируйте диск программой fdisk;

г) переустановите операционную систему с оригинального CD-ROM;

д) перезагрузите файлы с внешнего носителя.

Назовите две серьезные ошибки данной инструкции.

ГЛАВА 7. РИСК РАБОТЫ НА ПЕРСОНАЛЬНОМ КОМПЬЮТЕРЕ

Персональный компьютер (ПК), возможно, является наиболее

значительным техническим достижением в истории по своему

потенциальному воздействию на экономику. Хотя в предыдущие десятилетия

его предшественница, система с разделением времени, позволяла людям

использовать на расстоянии часть мощности универсального компьютера,

пользователь был стеснен ограничениями на ввод и получение данных,

накладываемыми простыми терминалами. Теперь ПК, или, более точно,

различные формы микрокомпьютеров, позволяют загружать данные

(получать файлы из центрального компьютера), выполнять локальную

обработку с помощью разработанных или купленных программ, хранить их,

а затем снова направлять файлы или элементы данных на центральный

процессор. В добавление, современная телекоммуникационная

инфраструктура и ряд служб позволяют пользователю ПК почти с

одинаковой легкостью передавать информацию как внутри своего отдела, так

и по всему миру. Все это означает, что следует заново обдумать концепцию

информационной безопасности и тщательно спланировать, когда и как

следует применять персональные компьютеры.

7.1. Определение персонального компьютера

Терминология в информатике всегда была предметом споров. У

каждого свое представление о том, что определяет отличие большого

компьютера от миникомпьютера. На микрокомпьютер обычно ссылаются как

на персональный компьютер, однако существует много различных форм

микрокомпьютеров. В данном контексте, термин персональный компьютер

(ПК) просто обозначает все оснащенные устройства, которые направляют

вычислительную мощность конечному пользователю. Такие устройства

включают, наряду с другими:

- персональные компьютеры;

- профессиональные рабочие станции (обычно встречающиеся в

инженерном конструировании, издательском деле, юриспруденции и других

сложных, специализированных применениях);

- текстовые процессоры.

7.1.1. Программно-аппаратные средства

Персональный компьютер включает процессор, память для временного

хранения данных в течение обработки, какую-то форму для постоянного

хранения данных (обычно диск) и дисплей. ПК также может иметь принтер

(локальный или сетевой), дисковую память большой емкости, накопители на

флоппи-дисках, плоттер, USB – порт и т.п.

ПК имеет операционную систему, которая состоит из программ,

поставляемых производителем компьютера или разработчиками

программного обеспечения, и которые содержат команды, управляющие

компьютерным оборудованием для обработки данных. ПК может также

иметь специальное программное обеспечение для управления

подключенными устройствами. ПК работает над выполнением различных

прикладных программ или приложений, которые называются пакетами

программ. Они включают почти неограниченное разнообразие различных

задач и применений.

7.2. Мощность персонального компьютера

Вследствие внушительного набора программных и аппаратных средств,

пользователь ПК может сделать большую часть из того, что ранее мог

сделать только руководитель вычислительного центра. ПК имеют все

уязвимые места вычислительного центра, за исключением того, что степень

защищенности становится еще меньше из-за отсутствия формального

контроля и процедурной структуры, как в любой деятельности полностью

контролируемой одним человеком. Пользователь ПК может:

1. Получить данные или файлы из центрального компьютера или из

присоединенного через ЛВС файл-сервера. Фактически, ПК может

использоваться как удаленный терминал.

2. Обработать эти данные, используя ПО предприятия, купленное,

самостоятельно произведенное или свободно распространяемое ПО,

полученное через сеть хакеров. ПО, не произведенное и не проверенное на

предприятии согласно процедуре сертификации, должно, в лучшем случае,

считаться подозрительным.

3. Направить полученные результаты в центральную информационную

систему, файл-сервер ЛВС, принтер, плоттер или через сеть в любое место

земного шара. Существует повод для беспокойства, вне зависимости от того,

будет ли занесен в журнал этот выводной файл или нет, и будет ли он,

фактически, получен тем или другим лицом.

4. Комбинировать результаты обработки с другими файлами, которые

хранятся локально, или на удаленных файл-серверах ЛВС, или являются

файлами баз данных центрального компьютера. Становится еще труднее

идентифицировать данные, имеющие скрытые ошибки, поскольку они

смешаны с другой, «хорошей», т.е. официально санкционированной,

информацией.

5. Открыть многочисленные файлы, которые являются общими для

пользователей сети или для которых пользователь имеет полномочия,

просматривать их, извлекать информацию и составлять коллекции данных.

До тех пор, пока контроль доступа к файлам не будет широко применяться и

не станет эффективным, любопытные лица могут наталкиваться на секретные

и, возможно, потенциально опасные сочетания элементов информации (см.

Приложение А).

6. Не имея авторизованного доступа к файлам, пользователь ПК может

оказаться способным локально запускать программы, производящие пароли

доступа, и т.о. вторгнуться в контролируемые файлы или процессы.

Пользователь ПК может выполнить сложные манипуляции с контролем

безопасности или обмануть авторизованных пользователей, чтобы получить

права доступа, принадлежащие другим.

7. Выполнять все процессы, перечисленные в предыдущих пунктах, одни –

скрытно, другие – явно, в том числе, работая дома (используя удаленный

доступ к сети по телефону), а также во время командировки или путешествия

(в гостинице, через удаленный доступ по телефону, в самолете или в зале

ожидания аэропорта). Наиболее серьезной угрозой для конфиденциальной

информации является доступ к компьютерной системе по телефону.

Рассмотрим, каждый из этих пунктов (перечень не является

исчерпывающим) и покажем для каждого случая несколько способов,

которыми могут быть нарушены требования качественной информации

предприятия.