|
|
Обзор подготовлен |
|
Защита информации: "железо" и софт - не главное
При создании и внедрении на предприятии системы информационной безопасности (ИБ) определяющую роль играет организационное обеспечение. Ведь даже самые лучшие технические и программные средства не смогут гарантировать защиту информации, если сотрудники будут их использовать некорректно или не использовать вовсе.
Многолетняя практика показывает, что обеспечить приемлемый уровень ИБ можно, лишь основываясь на комплексном подходе к этой задаче, с учётом всех аспектов создания, использования и передачи принадлежащей компании информации. Для этого требуется сведение организационных, технических и программных мер защиты, мероприятий по оценке и прогнозированию рисков и уровня защищённости информации в единую, постоянно развивающуюся систему.
Учёт этих двух фактов приводит к необходимости выработки на административном уровне политики ИБ как основы организационных мер защиты информации, на базе которой будут проводиться все относящиеся к этой области мероприятия. Только таким образом компания сможет внедрить эффективную систему обеспечения безопасности.
Под политикой ИБ понимается общая стратегия организации в области защиты информации, которая отражается в наборе нормативных документов, носящих обязательный характер, и содержит регламент всех бизнес-процессов, связанных с использованием конфиденциальных сведений компании. В то же время, существует и более узкая трактовка этого термина, относящаяся к набору документов, определяющему какую-то одну область ИБ, например, работу со съёмными носителями информации, взаимодействие с глобальной сетью, антивирусную защиту и др. В этом случае может быть принят набор политик безопасности по отдельным сферам, согласно разработанной классификации.
Политики ИБ разрабатываются на основе результатов выявления критических для компании информационных ресурсов, оценки уровня их защищённости, угроз для их целостности, конфиденциальности и доступности, оценки соответствующих рисков, определения мер по восстановлению.
В первую очередь, организация должна для себя чётко определить объекты защиты. На этом этапе необходимо придерживаться принципа разумной достаточности и выделять только действительно важную информацию, затраты на обеспечение безопасности которой будут экономически целесообразными. Здесь же необходимо учитывать требования законодательства и, в частности, классифицировать сведения на составляющие коммерческую тайну, составляющие профессиональную тайну, персональные данные, и данные, которые не могут быть отнесены к конфиденциальным. Кроме этого, необходимо учитывать и наличие исключительных прав третьих лиц на используемые ИТ и предусматривать меры по защите этих прав.
После этого необходимо провести аудит ИБ и определить фактический уровень защищённости. Аудит может быть как внутренним, так и внешним. Внутренний аудит, как правило, даёт менее объективные результаты, так как его обычно проводят заинтересованные лица, однако при его проведении сохраняется конфиденциальность информации и результатов аудита. Внешний аудит, в силу отсутствия личной заинтересованности проводящих его лиц и их свободы от внутренних корпоративных стереотипов, даёт более объективную картину защищённости сведений, но само его проведение сопряжено с риском нарушения конфиденциальности и результатов аудита. В любом случае, проведение аудита позволяет определить исходную точку для проведения дальнейших мероприятий по обеспечению ИБ.
Аудит предусматривает анализ угроз объектам защиты и оценку рисков их реализации. Обычно они сопоставляются с признаками целостности, конфиденциальности и доступности информационных ресурсов. На первом этапе формируется множество возможных угроз (достаточно широкое), после чего на основе анализа конкретных условий в компании из него выделяется подмножество вероятных угроз. Каждой из них сопоставляется уровень рискареализации, возможные источники угрозы и уровень соответствующего ущерба. Часто производится оценка затрат на реализацию отдельных угроз в зависимости от возможностей потенциального злоумышленника. Это позволяет точнее определить возможные источники опасностей. После этого, уже в рамках управления рисками, вырабатывается набор контрмер для каждой угрозы, включающих меры предотвращения и или восстановления (в том случае, если "ружье выстрелит").
Определившись с ответами на вопросы: "Что защищать?", "От кого защищать?" и "Как защищать?", организация может приступать к разработке политики обеспечения ИБ.
3 документальных уровня
Как сама политика информационной безопасности, так и набор фиксирующей её организационно-распорядительной документации подразделяется на три уровня: верхний (стратегический), средний (оперативный) и нижний (тактический).
Верхний уровень отражает общий подход организации к решению проблем ИБ и подтверждает осознание её руководством важности этих проблем. Согласно стандарту ISO 17799/BS 7799, политика безопасности должна включать в себя раздел, подтверждающий озабоченность высшего руководства проблемами ИБ, предлагать организационное деление служб и подразделений, отвечающих за эту сферу, содержать классификацию материальных и нематериальных ресурсов с указанием необходимых уровней их защиты, описание мер в контексте персонала, должностных обязанностей сотрудников, их обучения и т.п., а также физической защиты помещений,оборудования и человеческого капитала компании, а также описание подхода к управлению и администрированию компьютеров и сетей, правила разграничения доступа к объектам защиты, порядок разработки и сопровождения информационных систем, описание мер по обеспечению непрерывности работы организации и раздел, посвящённый правовому обеспечению принимаемой политики.
На практическом уровне эти разделы отражаются в двух основополагающих документах: стратегии обеспечения ИБ и концепции её обеспечения. Первый документ содержит в себе решение высшего руководства компании разработать программу обеспечения ИБ, констатацию важности указанной программы для организации, описание целей компании в этой сфере, список лиц из высшего руководства, на которых возлагается ответственность за продвижение и реализацию программы, порядок финансирования мероприятий по достижению и поддержанию адекватного уровня ИБ. Это своеобразная декларация о намерениях, обеспечивающая принимаемой политике поддержку менеджмента. Что же касается большей части перечисленных требований, то она составляет второй документ высшего уровня ИБ-политики. Концепция обеспечения защиты информации является основным документом, который определяет ее практические организационные аспекты. На этой основе в компании строится вся организационно-распорядительная документация и все процессы обеспечения ИБ.
На среднем уровне описываются конкретные требования к обеспечению защиты информации в организационном и техническом разрезах. Они отражаются в Регламенте обеспечения безопасности информации и Общих технических требованиях по обеспечению безопасности информации (либо в Профиле защиты информации). Регламент обеспечения безопасности информации содержит общие положения, описание обязанностей персонала по обеспечению безопасности и описание правил использования информационных систем компании. Регламент разрабатывается на базе Концепции обеспечения ИБ и переносит её положения в практическую сферу организации работы персонала, устанавливая правила действия сотрудников по обеспечению ИБ на стадиях получения, обработки и хранения сведений, а также их ответственность за нарушение этих правил.
Здесь же оговариваются правила разграничения доступа к информации и порядок назначения прав доступа к ней, режим обмена сведениями с внешними организациями (государственными и частными), порядок использования ПО, правила работы в локальной и глобальной сети, правила работы со съёмными и традиционными ("бумажными") носителями, их учёта и хранения, регламенты проведения работ по обновлению аппаратного и программного обеспечения, а также процедуры проверки защищённости информационных объектов и режима их защиты, меры реагирования на нештатные ситуации и восстановления ресурсов, пострадавших в результате несчастного случая или направленной атаки.
|
|