Основы информационной безопасности

20.4. Управленческие и организационные меры по обеспечению информационной безопасности

Главная цель мер, предпринимаемых на управленческом уровне - сформировать единую концепцию и программу работ в области информационной безопасности (ИБ) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя текущее состояние системы ИБ. Практически это можно осуществить, разработав модель представления системы ИБ, которая позволяет решать задачи создания, использования, сопровождения, развития и оценки эффективности системы ИБ. Основное назначение такой модели - методологическое и практическое обеспечение процесса создания системы ИБ за счет оптимизации принимаемых решений и выбора рационального варианта технической реализации.

На рис. 20.4-1 в общем виде представлена модель требований, на основании которых формируются спецификации и организационные меры для приобретения готовых решений или разработки программно-аппаратных средств, реализующих систему информационной защиты.

Рис. 20.4-1. Формирование системы требований к системе информационной безопасности

Вне зависимости от размеров организации и специфики ее информационной системы, работы по обеспечению режима ИБ в том или ином виде должны содержать следующие этапы (рис. 20.4-2):

• определение и выработка политики информационной безопасности;
• определение совокупности целей создания системы ИБ и сферы (границ) ее функционирования;
• выявление максимально полного множества потенциальных угроз, способов и каналов их осуществления;
• выявление уязвимостей, проведение оценки рисков, формирование методик управление рисками;
• определение требований к системе защиты информации;
• выбор контрмер, обеспечивающих режим ИБ, и средств защиты;
• разработка, внедрение и организация использования выбранных мер, способов и средств защиты;
• осуществление текущего контроля целостности информационных ресурсов и средств защиты и плановый аудит системы управления информационной безопасностью.

Рис. 20.4-2. Основные этапы обеспечения информационной безопасности

Ниже содержание этапов будет рассмотрено подробнее (п. 21.4).

При обеспечении ИБ важно не упустить каких-либо существенных аспектов. Это будет гарантировать некоторый минимальный (базовый) уровень ИБ, обязательный для любой информационной технологии или информационной системы. Для обеспечения базового уровня ИБ используется упрощенный подход к анализу рисков, при котором рассматривается стандартный набор наиболее распространенных угроз безопасности без детальной оценки их вероятностей. Для нейтрализации угроз применяется типовой набор контрмер, а вопросы эффективности защиты рассматриваются в отдельных важных случаях (рис. 20.4-1). Подобный подход приемлем, если ценность защищаемых ресурсов с точки зрения организации не является чрезмерно высокой.

В ряде случаев базового уровня безопасности оказывается недостаточно. Примером может служить банковская ИС или АСУП предприятия с непрерывным циклом производства, когда даже кратковременный выход из строя автоматизированной системы приводит к очень тяжелым последствиям. В этом и подобных случаях важно знать параметры, характеризующие уровень безопасности информационной системы (технологии): количественные оценки угроз безопасности, уязвимостей, ценности информационных ресурсов. В случае повышенных требований в области ИБ используется полный вариант анализа рисков. В отличие от базового варианта, в том или ином виде производится дополнительная оценка ценности ресурсов, характеристик рисков и уязвимостей. Как правило, проводится анализ по критерию стоимость/эффективность нескольких вариантов защиты.

20.5. Программа в области информационной безопасности

Управленческие аспекты разработки и реализации информационной безопасности предполагают наличие совокупности организационных мер в виде развернутой программы, которую целесообразно структурировать по уровням, обычно в соответствии со структурой организации. В большинстве случаев достаточно двух уровней - верхнего (организационно-управленческого), который охватывает всю организацию и корпоративную ИС, и нижнего (или сервисного), который относится к отдельным подсистемам ИС и сервисам.

Программу верхнего уровня формирует и возглавляет лицо, отвечающее за информационную безопасность организации. Эти обязанности, как правило, входят в обязанности CIO (Chief Information Officer). Программа должна содержать следующие главные цели:

• разработка и исполнение политики в области ИБ;
• стратегическое планирование;
• оценка рисков и управление рисками;
• координация деятельности в области информационной безопасности: выбор эффективных средств защиты, их приобретение или разработка, внедрение, эксплуатация, пополнение и распределение ресурсов, обучение персонала;
• контроль деятельности в области ИБ.

В рамках программы верхнего уровня принимаются стратегические решения по безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых программных и технических средств защиты.

Контроль деятельности в области безопасности имеет двоякую направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат федеральным и региональным законам и нормативным актам. Необходимо постоянно следить за изменениями во внешней среде, приводящие к возможности возникновения угроз. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений, вырабатывать защитные меры с учетом изменения обстановки.

Следует подчеркнуть, что программа верхнего уровня должна официально приниматься и поддерживаться высшим руководством, у нее должны быть определенные штаты и выделенный бюджет. Без подобной поддержки приказы, распоряжения и "призывы" к исполнению программы останутся пустым звуком.

Цель программы нижнего уровня - обеспечить надежную и экономичную защиту информационных подсистем, конкретных сервисов или групп однородных сервисов. На этом уровне решается, какие механизмы защиты использовать, закупаются и устанавливаются технические средства, выполняется повседневное администрирование, отслеживается состояние слабых мест, проводится первичное обучение персонала и т. п. Обычно за программу нижнего уровня отвечают ответственные менеджеры по обеспечению ИБ, системные администраторы и администраторы сервисов.

В плане безопасности важнейшим действием на этом этапе является оценка критичности как самого сервиса, так и информации, которая с его помощью будет обрабатываться. Необходимо сформулировать ответы на следующие вопросы:

• Какие данные и информацию будет обслуживать данный сервис?
• Каковы возможные последствия нарушения конфиденциальности, целостности и доступности этой информации?
• Каковы угрозы, по отношению к которым информация и сервис будут наиболее уязвимы?
• Существуют ли какие-либо особенности сервиса, требующие принятия специальных мер, - например, территориальная распределенность компонентов ИС?
• Каковы должны быть характеристики персонала, имеющие отношение к безопасности: компьютерная квалификация, дисциплинированность, благонадежность?
• Каковы законодательные положения и корпоративные правила, которым должен удовлетворять сервис?

Результаты оценки критичности являются отправной точкой в составлении спецификаций на приобретение или разработку сервисов. Кроме того, они определяют ту меру внимания, которую служба безопасности организации должна уделять сервису или группе сервисов на всех этапах его жизненного цикла.

Необходимо, однако, сделать одну оговорку. Программа безопасности не является воплощением простого набора технических средств, встроенных в информационную систему - у системы ИБ есть важнейшие "политический" и управленческий аспекты, реализуемые на высшем уровне менеджмента компании - и об этом следует постоянно помнить.