Вайнштейн Ю.В., Демин С.Л., Кирко И.Н., Кучеров М.М., Сомова М.В. Основы информационной безопасности

Подождите немного. Документ загружается.

161

технической необходимо учитывать и нормативно-организационную состав-

ляющую, включающую в себя: подготовка квалифицированных кадров, раз-

работка перспективных планов приобретения средств информатизации и за-

щиты информации, совершенствования информационной инфраструктуры

организации и т.д.

Анализ мирового и отечественного опыта обеспечения безопасности

диктует необходимость создания целостной системы обеспечения безопасно-

сти информации (СОБИ), взаимоувязывающей разнообразные организацион-

ные и технические меры защиты, использующей современные методы про-

гнозирования, анализа и моделирования. Для построения СОБИ, в макси-

мальной степени отвечающей интересам бизнеса, необходимо на самом ран-

нем этапе выработать стратегическую линию, долгосрочные подходы к ком-

плексному решению задач обеспечения безопасности информации, учиты-

вающие прогнозы грядущих изменений и позволяющие адаптировать СОБИ к

любой достаточно сложной и изменчивой бизнес-ситуации.

Кроме того, создание полномасштабной СОБИ требует значительных

финансовых затрат. Покрыть требуемые затраты сразу, как правило, не пред-

ставляется возможным. Это приводит к необходимости поэтапного построе-

ния системы (развертывания ее отдельных элементов). Очевидно, что для це-

лостного объединение этих элементов, разрабатываемых или закупаемых в

разное время, в единую систему защиты, необходим единый архитектурный

замысел.

Таким образом, для начала работ по защите информации на практике

руководству предприятия необходимо принять решение о том, как оно пла-

нирует защищаться, выбрать методы и процедуры защиты информации для

своего конкретного случая, определить характеристики используемых техни-

ческих средств. Иными словами, организация должна сформировать свою

Политику безопасности информации.

Политика безопасности информации − совокупность нормативных до-

кументов, определяющих (или устанавливающих) порядок обеспечения безо-

пасности информации на конкретном предприятии, а также выдвигающих

требования по поддержанию подобного порядка. Важно подчеркнуть, что до-

кументы, разрабатываемые при формировании Политики безопасности долж-

162

ны иметь официальный юридический статус (подпись первого лица), обяза-

тельный для исполнения всеми сотрудниками предприятия.

Разработка Политики безопасности информации является основопола-

гающим этапом при разработке и последующем внедрении СОБИ, так как от

правильного формирования корпоративных правил и процедур обеспечения

безопасности в определяющей степени зависит уровень всех дальнейших

проектных решений и, в конечном итоге − уровень безопасности. Если требо-

вания, выдвинутые в начале разработки не полны или ошибочны, то,

СОБИ в ряде случаев не сможет полностью отвечать своему предназначению.

Очевидно, что разработать Политику безопасности информации, т.е.

построить полную систему правил и требований по безопасности информа-

ции, возможно только в том случае, если проанализированы все информаци-

онные риски и определена нормативная база, регулирующая вопросы защиты

информации. Поэтому предварительным этапом для разработки Политики

безопасности должно являться Комплексное обследование защищенности

КИС организации.

Разработка Политики безопасности преследует следующие основные

цели:

− формирование системы взглядов на проблему обеспечения безопас-

ности информации и пути ее решения с учетом современных тенден-

ций развития технологий и методов защиты информации;

− формулирование рекомендаций к повышению степени защищенно-

сти информационной системы;

− выработка общих требований к средствам защиты информации.

Как говорилось выше, под Политикой безопасности информации пони-

мается согласованный по целям защиты информации пакет нормативных, ор-

ганизационно-распорядительных и эксплуатационных документов, регламен-

тирующих все вопросы организации, управления и контроля безопасности, а

также эксплуатации средств защиты. Структура данного пакета документов

представляется в виде трех иерархических уровней.

Первый уровень Политики безопасности информации содержит голов-

ной документ − Концепцию информационной безопасности, определяющую

цели и задачи защиты информации в КИС, корпоративные требования и

163

практические правила управления информационной безопасностью, состав

других документов, регламентирующих вопросы безопасности информации.

«Концепция безопасности информации» отражает официальную приня-

тую в организации систему взглядов на проблему обеспечения безопасности

информации и пути ее решения с учетом современных тенденций развития

информатизации в Российской Федерации. По своей сути это − стратегия ре-

шения вопросов защиты информации.

Таким образом, на первом уровне Политики безопасности формулиру-

ются цели обеспечения информационной безопасности, вырабатываются и

внедряются единые корпоративные стандарты, которые в дальнейшем опре-

деляют правила и требования по всем вопросам информационной безопасно-

сти и становятся обязательными для всех структурных подразделений орга-

низации. Данный документ является системообразующим документом, ин-

тегрирующим все документы Политики безопасности по поставленным це-

лям и задачам информационной безопасности.

Второй уровень, как правило, содержит два документа − Регламент

обеспечения безопасности информации и Профиль защиты, которые являют-

ся нормативными или организационно-распорядительными документами, т.е.

регламентируют все вопросы организации и проведения работ по защите ин-

формации, положения о инфраструктурных элементов информационной

безопасности, разрешительной системе допуска исполнителей к документам

и сведениям, регламентах выполнения информационных процессов, должно-

стных инструкций и т.д., а также технические требования к составляющим

СОБИ.

«Регламент обеспечения безопасности информации» разрабатывается

на основании «Концепции безопасности информации» и в директивной фор-

ме излагает порядок обращения с защищаемой информацией, основные пра-

вила действий сотрудников и их ответственность в обеспечении безопасности

информации в любых ситуациях и на всех стадиях жизненного цикла КИС

предприятия.

«Профиль защиты» разрабатывается в соответствии с ГОСТ ИСО/МЭК

15408 «Информационная технология. Методы и средства обеспечения безо-

пасности. Критерии оценки безопасности информационных технологий» и

164

содержит технические требования к программно-аппаратным средствам за-

щиты, в том числе и встроенным в общесистемное программное обеспечение.

По своей сути Регламент и Профиль формируют тактические приемы

реализации стратегических целей, определенных Концепцией, и устанавли-

вают ответственность должностных лиц.

После разработки документов первого и второго уровней проводится

следующий этап работ (или третий уровень) − разработка исполнительной

документации, включающей в себя различные должностные положения и ин-

струкции, целесообразность которых определяется по результатам первого и

второго этапов. Кроме того, данный уровень содержит эксплуатационные до-

кументы средств защиты информации, обеспечивающих систему разграниче-

ния доступа к защищаемым ресурсам, систему мониторинга и контроля за

средствами защиты. Третий уровень политики безопасности опирается на

эксплуатационную документацию используемых программно-технических

средств защиты, общесистемного и прикладного программного обеспечения,

а также на стратегию и тактику защиты, обеспечиваемую техническими и

программными средствами СОБИ и КИС.

Таким образом, при формировании Политики безопасности необходи-

мо:

− определить перечень нормативных документов, необходимых для

подготовки Концепции информационной безопасности и Регламента

обеспечения безопасности информации;

− сформировать терминологический аппарат;

− уяснить основные направления обеспечения безопасности информа-

ции в КИС и описать основные требования к СОБИ, к системе управ-

ления безопасностью информации, к инженерному и техническому

оборудованию помещений и др.;

− разработать проект Концепции, отражающий основные цели и задачи

обеспечения безопасности информации на стадии проектирования и

создания СОБИ, на стадии эксплуатации СОБИ, а также вопросы

контроля обеспечения безопасности информации, страхования ин-

формационных рисков и ответственности должностных лиц за ис-

полнение положений Концепции;

165

− разработать Регламент обеспечения безопасности информации, в ко-

тором будет дано описание общих правил разграничения доступа к

информации, определение обязанности персонала по обеспечению

безопасности информации, правила использования персональных

компьютеров и т.п.

11.2. Разработка Концепции безопасности информации

Формирование стратегических целей обеспечения безопасности ин-

формации охватывает следующие направления:

11.2.1. Определение общих положений Концепции

− Определение назначения и правовой основы Концепции (назначение

Концепции, ее правовой статус, ответственность за ее выполнение,

правовая основа, установление прав собственности на информацию,

деление информации по категориям, определение объектов защиты и

субъектов отношений);

− Уточнение основных целей и задач обеспечения безопасности ин-

формации (определение возможного ущерба, целей и задач обеспече-

ния безопасности информации, угроз безопасности информации);

− Определение принципов обеспечения безопасности информации (за-

конности, максимальной дружественности и прозрачности, превен-

тивности, оптимальности и разумной разнородности, адекватности и

непрерывности, системного подхода и рациональной этапности, адап-

тивности, доказательности и обязательности контроля, самозащиты и

конфиденциальности СОБИ, многоуровневости и равнопрочности,

простоты применения и апробированности защиты, преемственности

и совершенствования, персональной ответственности и минимизации

привилегий, разделения обязанностей и т.д.);

− Описание состояния безопасности информации в КИС (оценка общей

структуры КИС, основных подходов к оценке состояния безопасности

информации, источников угроз безопасности информации, уязвимо-

166

стей объектов информатизации, методов реализации угроз, прогнози-

рование возможных атак на объекты защиты).

11.2.2. Уяснение основных направлений обеспечения безопасности

информации и описание требований к безопасности информации

− Основные направления обеспечения безопасности информации (оп-

ределение технической политики и приоритетов целей обеспечения

безопасности информации);

− Основные методы противодействия угрозам безопасности информа-

ции (правовые, экономические, организационные, инженерно-

технические, технические, программно-аппаратные);

− Выбор уровня защиты объектов информатизации (определение кате-

гории защиты объекта информатизации и класса защищенности

КИС);

− Основные требования к СОБИ (общие, к физическому, технологиче-

скому, пользовательскому, локальному и сетевому уровням защиты);

− Основные требования к системе защиты информации (общие, общие

требования по сегментированию и сопряжению сегментов, к физиче-

скому, технологическому, пользовательскому, локальному, сетевому

уровням защиты, а также к подсистемам управления доступом, ауди-

та и мониторинга, защиты пери метра, распределения ключей и сер-

тификатов, хранения данных и резервного копирования, к аттестации

объектов информатизации);

− Основные требования к системе управления безопасностью инфор-

мации (определение принципов управления безопасностью инфор-

мации, структуры системы управления безопасностью информации,

требований к специалистам системы управления обеспечением безо-

пасности и комплексному администрированию КИС, а также общих

требований по организации допуска пользователей КИС);

− Основные требования к инженерному и техническому оборудованию

помещений (по построению защищенных помещений, размещению

технических средств, использованию вспомогательных технических

167

средств, оборудованию рабочего места администратора безопасно-

сти)

11.2.3. Разработка специальных глав Концепции

− Обеспечение безопасности информации на стадии проектирования и

создания СОБИ;

− Обеспечение безопасности информации на стадии эксплуатации

КИС;

− Контроль обеспечения безопасности информации при проектирова-

нии СОБИ;

− Страхование информационных рисков;

− Ответственность должностных лиц за исполнение положений Кон-

цепции;

− Подготовка приложений и иллюстрационных материалов.

11.3. Разработка Регламента обеспечения безопасности информации

Разработка Регламента включает в себя следующие работы:

11.3.1. Подготовка к разработке Регламента

− Изучение Концепции обеспечения безопасности информации и дру-

гих руководящих документов;

− Сбор дополнительной исходной информации;

11.3.2. Определение общих положений Регламента

− Соответствие принятой политики безопасности действующему зако-

нодательству;

− Информационные ресурсы и необходимый уровень их защиты;

− Описание общих правил разграничения доступа к информации;

− Порядок разработки и сопровождения информационных систем;

− Организация обучения и переподготовки персонала.

168

11.3.3. Определение обязанностей

персонала по обеспечению безопасности информации

− Определение подразделений, отвечающих за обеспечение безопасно-

сти информации (организационная структура подразделений обеспе-

чивающих режим безопасности информации и задачи подразделений

по обеспечению безопасности информации);

− Определение ответственности за обеспечение режима безопасности

информации (обязанностей руководства, службы защиты информа-

ции, службы комплексного администрирования КИС, службы безо-

пасности, службы эксплуатации (жизнеобеспечения) технических

средств, кадровой службы, руководителей подразделений, пользова-

телей, а также ответственность должностных лиц за выполнение тре-

бований безопасности информации);

− Определение порядка взаимодействия с другими организациями (по

обмену информацией со сторонними организациями, предоставле-

нию информации государственным и муниципальным организациям,

следственным и надзорным органам, взаимодействию со средствами

массовой информации;

− Определение порядка использования паролей пользователей (генера-

ции паролей и ключевой информации, смены паролей плановой и в

случае компрометации, прекращения действия паролей);

− Определение порядка регистрации пользователей и назначения им

прав доступа (наделения пользователей полномочиями доступа к ин-

формационным ресурсам организации, внесения изменений в списки

пользователей, исключения из списков сотрудников, выбывших из

организации, учета временно выбывших сотрудников и блокирова-

ния их полномочий).

11.3.4. Определение правил

использования компьютеров и информационных систем

− Для обеспечения безопасности при использовании программного

обеспечения (определение порядка введение новых программных

169

продуктов в эксплуатацию, использования приложений, баз данных,

систем электронного документооборота, защиты от вредоносных

программ и вирусов, разработки программного обеспечения по заяв-

кам подразделений организации, проведения обслуживания про-

граммного обеспечения, обеспечения резервного копирования);

− Для обеспечения безопасности при использовании оборудования

КИС (определение порядка ввода в эксплуатацию новых технических

средств, учета, хранения и обращения со съемными носителями ин-

формации и твердыми копиями, проведения регламентного обслужи-

вания аппаратных средств, обеспечения бесперебойной работы, а

также обеспечения безопасности на серверах ЛВС, рабочих станциях

пользователей, при работе с переносными компьютерами, средствах

связи и телекоммуникаций) ;

− Для обеспечения безопасности при работе пользователей в сети Ин-

тернет (определение порядка сегментирования информационной сис-

темы, подключения рабочих мест пользователей к сети Интернет, ра-

боты с удаленными пользователями);

− Определение порядка аттестации объектов информатизации;

− Определение порядка внутреннего периодического контроля соблю-

дения режима безопасности информации;

− Определение порядка проведения аудита безопасности информации

с привлечением сторонних организаций;

− Определение порядка и процедуры реагирования на нарушения ре-

жима безопасности (разбор инцидентов);

− Определение порядка ликвидации последствий при возникновении

нештатных ситуаций и нарушении установленного режима обеспече-

ния безопасности информации.

11.4. Разработка Профиля защиты

В настоящее время при проектировании практически любой корпора-

тивной информационной системы (КИС), ее обладатель понимает важность и

необходимость разработки и реализации соответствующей политики безо-

пасности информации для данной системы, т.е. формирования необходимых

170

для обеспечения безопасности информации корпоративных правил и проце-

дур, соответствующих конкретным условиям функционирования КИС.

Этот этап является принципиально важным, так как от правильного

формирования корпоративных правил и процедур обеспечения безопасности

в определяющей степени зависит уровень всех дальнейших проектных реше-

ний и, в конечном итоге − уровень безопасности. Если перечень требований в

начале разработки не полные, то система обеспечения безопасности инфор-

мации (СОБИ) может не отвечать своему предназначению. Очевидно, что по-

строить полную систему требований возможно только в том случае, если

проанализированы все информационные риски и нормативная база, регули-

рующая вопросы защиты информации.

Одним из основных этапов формирования политики безопасности КИС

является разработка Профиля защиты (ПЗ) для данной КИС. ПЗ предназначен

для выражения (формулирования) требований информационной безопасности

к видам и типам автоматизированных систем или их компонентам. ПЗ опре-

деляет независимое от реализации множество требований безопасности ин-

формационных технологий для объектов оценки (ОО), которыми являются

продукты информационных технологий и/или автоматизированные системы.

При этом сам ПЗ не регламентирует то, каким образом данные требования

будут реализовываться, обеспечивая, тем самым, независимость в выборе

средств защиты.

Разработка ПЗ осуществляется в соответствии с ГОСТ Р ИСО/МЭК

15408-2002 «Информационная технология. Методы обеспечения безопасно-

сти. Критерии оценки безопасности информационных технологий», который,

по решению Госстандарта России, начинает действовать с начала 2004 г. По-

скольку государственное регулирование вопросов защиты конфиденциальной

информации связано с внедрением нормативной базы (которая сегодня все

более ориентируется на международные стандарты, что обусловлено расши-

рением участия России в международном информационном обмене) ГОСТ Р

ИСО/МЭК 15408-2002 содержит полный аутентичный текст международного

стандарта ISO 15408-99. Предполагается, что ввод в действие ГОСТ Р

ИСО/МЭК 15408-2002 позволит разработчикам изделий информационных

технологий иметь мощный инструмент определения требований к безопасно-

сти ИТ и создания систем защиты информации, уменьшить затраты на сер-