Відділ захисту інформації створений. Що далі?

1. Сьогодні навряд чи вдасться знайти організацію, в якій ніхто і ніколи не замислювався б про захист...
2. Класифікація інформації
3. Категорії захищається
4. категорії конфіденційності
5. категорії цілісності
6. категорії доступності
7. Категоріювання ресурсів

Сьогодні навряд чи вдасться знайти організацію, в якій ніхто і ніколи не замислювався б про захист інформації. Разом з тим не завжди можна зустріти правильне розуміння інформаційної безпеки як комплексу організаційних і технічних заходів. Найважливішим елементом її забезпечення є людина, і він же - основний фактор її порушення.

Інформаційна безпека повинна сприйматися як комплекс організаційно-технічних заходів, оскільки забезпечити конфіденційність, цілісність і доступність не можна ні окремо взятими технічними заходами, ні тільки організаційними.

Скажімо, ви вирішили забезпечувати захист тільки технічними заходами, при цьому організаційні документи у вас повністю відсутні. Так часто буває, якщо захистом займається відділ ІТ або начальник відділу інформаційної безпеки (ІБ) - колишній представник ІТ-структур. Що в цьому випадку відбудеться? Припустимо, що один зі співробітників компанії систематично передає конфіденційну інформацію по електронній пошті конкурентам. Ви виявили витік, але документів у вас немає, отже, покарати співробітника (наприклад, звільнити його) ви просто не маєте права. А якщо ви це зробите, розумний зловмисник подасть на вас до суду за порушення його конституційних прав на особисту переписку. Найсумніше в тому, що юридично він буде абсолютно правий: всередині вашої організації не документовано, що вся інформація, передана засобами електронної пошти з адрес, що належать вашій організації, є власністю фірми.

Розглянемо другу крайність. Вона, як правило, характерна для колишніх військовослужбовців і співробітників спецслужб. У вас підготовлені чудові документи, але абсолютно відсутній їх технічна підтримка. Що станеться в такому випадку? Ваші співробітники рано чи пізно порушать положення організаційних документів і, побачивши, що їх ніхто не контролює, будуть робити це систематично.

Таким чином, інформаційна безпека - гнучка система, що включає в себе як організаційні, так і технічні заходи. При цьому потрібно розуміти, що тут не можна виділити більш значимі заходи або менш значущі. Важливо все. Потрібно дотримуватись заходів захисту в усіх точках мережі, при роботі будь-яких суб'єктів з вашою інформацією. (Під суб'єктом в даному випадку розуміється користувач системи, процес, комп'ютер або програмне забезпечення для обробки інформації). Кожен інформаційний ресурс, будь то комп'ютер користувача або сервер організації, повинен бути повністю захищений. Захищені повинні бути файлові системи, мережу і т. Д. Способи реалізації ми тут обговорювати не будемо.

Існує величезна кількість програмного забезпечення, спрямованого на вирішення завдання захисту інформації. Це і антивірусні програми, і мережеві екрани, і вбудовані засоби операційних систем. Однак найбільш уразливим фактором завжди залишається людина. Працездатність будь-якого програмного забезпечення залежить від якості його написання, від грамотності адміністратора, який його настроїв.

Багато організацій в зв'язку з цим створюють відділи захисту інформації або ставлять завдання по забезпеченню безпеки інформації перед своїми ІТ-відділами. Але не раз вже говорилося, що не можна звалювати на ІТ-службу невластиві їй функції. Припустимо, що у вашій організації створено відділ ІТ-безпеки. Що робити далі? З чого починати його діяльність?

Перші кроки відділу ІБ

На мій погляд, починати потрібно з навчання співробітників! І в подальшому робити це не рідше двох разів на рік. Навчання звичайного персоналу основам захисту інформації повинно стати постійною справою співробітників відділу захисту інформації!

Багато керівників намагаються відразу ж отримати від відділу захисту інформації документ під назвою «Політика безпеки». Це помилка. Перед тим як ви сядете за написання цього серйозного документа, який визначатиме надалі всі ваші зусилля щодо забезпечення інформаційної безпеки вашої організації, потрібно задати собі наступні питання:

Яку інформацію ви обробляєте?

Як її класифікувати?

Якими ресурсами ви володієте?

Як розподілена обробка інформації по ресурсах?

Як класифікувати ресурси?

Постараємося відповісти на ці питання.

Класифікація інформації

В нашій країні історично склався підхід до класифікації інформації (в першу чергу державної) за рівнями вимог до її захищеності виходячи з одного її властивості - конфіденційності (секретності).

Вимоги до забезпечення цілісності і доступності інформації, як правило, лише побічно згадуються серед загальних вимог до систем обробки даних.

Якщо такий підхід в якійсь мірі виправданий для забезпечення безпеки інформації, що становить державну таємницю, то це не означає, що перенесення його в іншу предметну область (з іншими суб'єктами і їхніми інтересами) буде правильним.

У багатьох областях частка конфіденційної інформації порівняно мала. Для відкритої інформації, збиток від розголошення якої є несуттєвим, найважливішими є зовсім інші властивості, скажімо такі, як доступність, цілісність або захищеність від неправомірного тиражування. Наприклад, для платіжних (фінансових) документів найважливішим є їх цілісність (достовірність). Потім слід властивість доступності (втрата платіжного документа або затримка платежів може обходитися дуже дорого). Вимоги до забезпечення конфіденційності платіжних документів, як правило, знаходяться на третьому місці.

Для сайту Internet-газети на першому місці буде стояти доступність і цілісність інформації, а не її конфіденційність. Спроби підійти до вирішення питань захисту такої інформації з позицій традиційного забезпечення тільки конфіденційності, терплять провал. Основними причинами цього є вузькість традиційного підходу до захисту інформації, відсутність у вітчизняних фахівців досвіду і відповідних напрацювань в плані забезпечення цілісності та доступності інформації, яка не є конфіденційною.

Для удосконалення класифікації інформації в залежності від вимог до її захищеності слід ввести кілька ступенів (градацій, категорій) вимог щодо забезпечення кожного з властивостей безпеки інформації: доступності, цілісності, конфіденційності.

Кількість градацій і вкладений в них сенс можуть відрізнятися.

Категорії захищається

Виходячи з необхідності забезпечити різні рівні захисту різних видів інформації (яка не містить відомостей, що становлять державну таємницю), зберігається та обробляється в організації, введемо кілька категорій конфіденційності і цілісності інформації, що захищається.

категорії конфіденційності

«Строго конфіденційна» - інформація, яка є конфіденційною відповідно до вимог чинного законодавства (банківська таємниця, персональні дані), а також інформація, обмеження на поширення якої введені рішеннями керівництва організації (комерційна таємниця), розголошення якої може привести до тяжких фінансово-економічних наслідків для організації, аж до банкрутства (нанесення тяжкого шкоди життєво важливим інтересам клієнтів, кореспондентів, партнерів або співробітників).

«Конфіденційна» - інформація, не віднесена до категорії «строго конфіденційна», обмеження на поширення якої вводяться рішенням керівництва організації відповідно до наданих йому як власнику (уповноваженому власником особі) інформації чинним законодавством правами, розголошення якої може привести до значних збитків і втрати конкурентоспроможності організації (нанесення відчутного збитку інтересам клієнтів, кореспондентів, партнерів або співробітників).

«Відкрита» - інформація, забезпечення конфіденційності (введення обмежень на поширення) якої не потрібно.

категорії цілісності

«Висока» - до цієї категорії відноситься інформація, несанкціонована модифікація (спотворення, підміна, знищення) або фальсифікація (підробка) якої може привести до нанесення значного прямого збитку організації, цілісність і автентичність (підтвердження автентичності джерела) якої повинна забезпечуватися гарантованими методами (засобами електронної цифрового підпису, ЕЦП) відповідно до обов'язкових вимог чинного законодавства, наказів, директив та інших нормативних актів.

«Низька» - до цієї категорії відноситься інформація, несанкціонована модифікація, підміна або видалення якої може привести до нанесення незначного непрямих збитків організації, її клієнтам, партнерам або співробітникам, цілісність якої повинна забезпечуватися відповідно до рішення керівництва (методами підрахунку контрольних сум, хеш функцій).

«Немає вимог» - до цієї категорії відноситься інформація, до забезпечення цілісності (і автентичності) якої вимог не висувають.

категорії доступності

Залежно від періодичності рішення функціональних завдань і максимально допустимої затримки отримання результатів вводиться чотири необхідних ступеня (категорії) доступності інформації.

«Безперешкодна доступність» - доступ до задачі повинен забезпечуватися в будь-який час (завдання вирішується постійно, затримка отримання результату не повинна перевищувати декількох секунд або хвилин).

«Висока доступність» - доступ повинен здійснюватися без істотних затримок за часом (задача вирішується щодня, затримка отримання результату не повинна перевищувати декількох годин).

«Середня доступність» - доступ може забезпечуватися з істотними затримками за часом (задача вирішується раз в кілька днів, затримка отримання результату не повинна перевищувати декількох днів).

«Низька доступність» - затримки по часу при доступі до задачі практично не лімітовані (завдання вирішується за періодом в декілька тижнів або місяців, допустима затримка отримання результату - кілька тижнів).

На першому етапі робіт проводиться категорирование всіх видів інформації, використовуваної при вирішенні завдань на конкретному комп'ютері (встановлення категорій конфіденційності і цілісності конкретних видів інформації). Складається «Перелік інформаційних ресурсів, що підлягають захисту».

На другому етапі відбувається категорирование всіх функціональних завдань, що вирішуються на даному комп'ютері. В ході третього етапу встановлюється категорія комп'ютера, виходячи з максимальних категорій оброблюваної інформації і завдань, що вирішуються на ньому.

Після того як ви розподілили оброблювану у вас інформацію за відповідними категоріями, слід провести інвентаризацію ресурсів.

Категоріювання ресурсів

Категоріювання ресурсів має на увазі виявлення (інвентаризацію) і аналіз всіх ресурсів інформаційної системи організації, які підлягають захисту. Ось приблизна послідовність і основний зміст цих робіт.

Перш за все для аналізу всіх підсистем інформаційної системи організації, інвентаризації та категорирования ресурсів, що підлягають захисту, формується спеціальна робоча група. До її складу включаються фахівці (обізнані в питаннях технології автоматизованої обробки інформації) підрозділу комп'ютерної безпеки та інших підрозділів організації.

Видається розпорядження керівництва організації, в якому, зокрема, даються вказівки всім керівникам структурних підрозділів надавати сприяння і допомогу робочій групі у проведенні аналізу ресурсів всіх комп'ютерів.

Для надання допомоги повинні виділятися співробітники, які володіють детальною інформацією з питань автоматизованої обробки інформації в підрозділах.

В ході обстеження конкретних підрозділів організації і підсистем інформаційної системи підприємства виявляються і описуються всі функціональні завдання, які вирішуються з використанням комп'ютерів, а також всі види відомостей, що використовуються при вирішенні цих завдань в підрозділах.

Після цього складається загальний перелік функціональних завдань і для кожного завдання оформляється формуляр. Слід враховувати, що одна і та ж завдання в різних підрозділах може називатися по-різному, і навпаки, різні завдання можуть мати один і той же назву. Одночасно ведеться облік програмних засобів, які використовуються при вирішенні функціональних завдань підрозділу.

При обстеженні підсистем і аналізі завдань виявляються всі види вхідної, вихідної, що зберігається, обробляється і т. П. Інформації. Необхідно виявляти не тільки інформацію, яка може бути віднесена до конфіденційної (до банківської і комерційної таємниці, персональних даних), а й інформацію, що підлягає захисту в силу того, що порушення її цілісності або доступності може завдати відчутної шкоди організації.

Виявляючи всі види інформації, що циркулює і оброблюваної в підсистемах, необхідно оцінювати наслідки, до яких можуть привести порушення її властивостей. Для отримання первинних оцінок доцільно проводити опитування (наприклад, у формі анкетування) фахівців, які працюють з цією інформацією. При цьому треба з'ясовувати, кого може цікавити дана інформація, як можна на неї впливати або незаконно використовувати, до яких наслідків це може призвести.

Якщо неможливо кількісно оцінити ймовірний збиток, то дається його якісна оцінка (наприклад: дуже низька, низька, середня, висока, дуже висока).

При складанні переліку та формулярів функціональних завдань, що вирішуються в організації, необхідно з'ясовувати періодичність їх вирішення, максимально допустимий час затримки отримання результатів і ступінь серйозності наслідків, до яких можуть привести порушення їх доступності (блокування можливості вирішення завдань).

Всі виявлені в ході обстеження види інформації заносяться до відповідного документу.

Далі необхідно визначити, до якого типу таємниці (банківська, комерційна, персональні дані, які не складова таємниці) належить кожен із виявлених видів інформації (на підставі вимог чинного законодавства та наданих організації прав).

Початкові пропозиції по оцінці категорій забезпечення конфіденційності і цілісності конкретних видів інформації з'ясовуються у керівників (провідних фахівців) структурного підрозділу (на основі їх особистих оцінок можливої ​​шкоди внаслідок порушення властивостей конфіденційності та цілісності інформації). Потім перелік узгоджується з керівниками відділів підрозділів автоматизації та комп'ютерної безпеки і виноситься на розгляд керівництва організації.

На наступному етапі відбувається категорирование функціональних завдань. На основі вимог по доступності, що пред'являються керівниками підрозділів організації та узгоджених зі службою ІТ, категоризується все прикладні функціональні завдання, які вирішуються в підрозділах з використанням комп'ютерної техніки. Інформація заноситься в формуляри завдань. Не слід проводити категорирование системних задач і програмних засобів поза прив'язкою до конкретних комп'ютерів і прикладних задач.

Надалі за участю ІТ-фахівців і підрозділи ІБ необхідно уточнити склад інформаційних і програмних ресурсів кожного завдання і внести в її формуляр відомості по групах користувачів завдання і вказівки з налаштування застосовуються при її вирішенні засобів захисту. Ці дані будуть використовуватися в якості еталону налаштувань засобів захисту відповідних комп'ютерів, а також для контролю правильності їх установки.

На останньому етапі встановлюється категорирование комп'ютерів, виходячи з максимальної категорії спеціальних завдань, що вирішуються на ньому, і максимальних категорій конфіденційності та цілісності інформації, використовуваної при вирішенні цих завдань. Інформація про категорії комп'ютера заноситься в його формуляр.

У поняття інвентаризації ресурсів входить не тільки звірка активних і пасивних мережевих ресурсів, якими ви володієте, зі списком обладнання (і його комплектності), закупленого організацією. Для звірки обладнання та його комплектності можна скористатися відповідним програмним забезпеченням (наприклад, Microsoft SMS Server) і т. П.

Сюди ж можна віднести створення карти мережі з описом всіх можливих точок підключення, складання списку використовуваного програмного забезпечення, формування фонду еталонів ліцензійного програмного забезпечення, використовуваного в організації, а також фонду алгоритмів і програм власної розробки.

Слід врахувати, що програмне забезпечення може бути допущено до роботи лише після його перевірки відділом захисту інформації на відповідність поставленим завданням, відсутність всіляких закладок і «логічних бомб».

Хотілося б сказати про що з'явилася у нас тенденції до використання додатків з відкритими кодами. Безперечно, вони приносять істотну економію ресурсів. Однак, думається, в цьому випадку безпека визначається довірою вже не тільки до розробника системи, але і до вашого адміністратора. А якщо взяти до уваги зарплату адміністратора, то неважко зробити висновок, що купити ваші секрети набагато простіше і дешевше, ніж здійснювати пряму зовнішню атаку. Варто згадати і про те, що більшу частину успішних атак здійснили інсайдери (службовці самої компанії).

Здається, що застосовувати вільно розповсюджується, якщо існує ризик заподіяння серйозної шкоди, можна лише за умови, що воно буде поставлятися вам в відкомпілювався вигляді і з цифровим підписом організації, яка гарантує відсутність логічних бомб, усілякого роду закладок і «чорних ходів». Причому організація-гарант має нести матеріальну відповідальність. Однак на сьогодні така пропозиція варто віднести до розряду нереальних.

Після перевірки еталонне програмне забезпечення заноситься в фонд алгоритмів і програм (еталонна копія повинна супроводжуватися файлом контрольної суми, а краще - електронним підписом розробника). Надалі, при зміні версій, появі оновлень, перевірка програмного забезпечення проводиться встановленим порядком.

У формуляр кожного комп'ютера заносяться відомості про встановлене програмне забезпечення, вказується дата установки, цілі, які вирішуються за допомогою даного ПЗ, завдання, ставиться прізвище і підпис особи, яка провадила установку і настройку ПО. Після створення подібних формулярів служба інформаційної безпеки повинна забезпечувати регулярну перевірку відповідності реального стану формуляру.

Наступним етапом в побудові служби захисту інформації повинен стати аналіз ризиків організації, на основі якого буде створюватися політика безпеки.

Володимир Безмалий - керівник програми підготовки адміністраторів інформаційної безпеки Академії «БМС Консалтинг», [email protected]

Відділ захисту інформації створений. Що далі?