И регламента безопасности предприятия

Всякой успешной деятельности должен предшествовать этап планирования. Шахматисты знают, что. не создав четкого плана выиграть партию у сколько-нибудь серьезного соперника невозможно. А соперник — «промышленный шпион» — у «защитника информации» достаточно серьезный. Планирование обеспечения безопасности заключается в разработке политики безопасности.

Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую, необходимо защищать. Иногда к этому делу подходят однобоко, полагая, что защита заключается в обеспечении конфиденциаль­ности информации. При этом упускаются из виду необходимость обеспечения защиты информации от подделки, модификации, парирования угроз нарушения работоспособности системы. На­пример, обиженный чем-то программист может вставить деструк­тивную закладку в программное обеспечение, которая сотрет цен­ную базу данных уже намного позднее времени его увольнения. Аудит информационных процессов должен заканчиваться опре­делением перечня конфиденциальной информации предприятия, участков, где данная информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) информации. Пос­ле этого становится ясно, что защищать, где защищать и от кого защищать: ведь в подавляющем случае инцидентов в качестве нарушителей будут выступать — вольно или невольно — сами со­трудники фирмы. На самом деле с этим ничего нельзя поделать: это надо принять как данность.

Различным угрозам безопасности можно присвоить вероятно­сти их реализации, Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого можно приступать к разработке политики безопасно­сти.

Политика безопасности — это документ верхнего уровня, в котором указаны:

• ответственные лица за безопасность функционирования фир­мы;

• полномочия и ответственность отделов и служб в отношении безопасности;

• организация допуска новых сотрудников и их увольнения;

• правила разграничения доступа сотрудников к информаци­онным ресурсам;

• организация пропускного режима, регистрации сотрудников и посетителей;

• использование программно-технических средств зашиты;

• другие требования общего характера.

Таким образом, политика безопасности — это организацион­но-правовой и технический документ одновременно. При ее со­ставлении надо всегда опираться на принцип разумной достаточ­ности и не терять здравого смысла.

Например, в политике может быть указано, что все прибываю­щие на территорию фирмы сдают мобильные телефоны вахтеру (такие требования встречаются в некоторых организациях). Будет ли кто-нибудь следовать этому предписанию? Как это проконт­ролировать? К чему это приведет с точки зрения имиджа фирмы? Ясно, что это требование нежизнеспособное. Другое дело, что можно запретить использование на территории мобильных теле­фонов сотрудникам фирмы при условии достаточного количества стационарных телефонов.

Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Ана­лиз рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную ин­формацию участки. Если в качестве ограничений выступает сум­марный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как услов­ную задачу динамического программирования.

Особое внимание в политике безопасности надо уделить раз­граничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности в силу низкой технической грамотности не осознаю важности зашиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими»- личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность директора по информационной безопасности, котором бы подчинялись обе службы.

В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников (хотя приходилось видеть и такое). Эти обязанности должны разрабатываться на основе политики, но не внутри нее.

Значительное внимание в политике безопасности уделяется вопросам обеспечения безопасности информации при ее обработке в автоматизированных системах: автономно работающих компьютерах и локальных сетях. Необходимо установить, как дол жны быть защищены серверы, маршрутизаторы и другие устрой­ства сети, порядок использования сменных носителей информа­ции, их маркировки, хранения, порядок внесения изменений в, программное обеспечение.

Можно привести по этому поводу следующие общие рекомендации:

• в системе должен быть администратор безопасности;

• за эксплуатацию каждого устройства должен быть назначен,
ответственный;

• системный блок компьютера опечатывают ответственный и;
работник IT-службы (или службы безопасности);

• предпочтительнее использовать съемные жесткие диски, а по jокончании рабочего дня убирать их в сейф;

• если нет необходимости в эксплуатации CD-ROM, дисководов, их следует снять с компьютеров;

• осуществление контроля за использованием USB-портов, вплоть до полного запрета;,

• установка любого программного обеспечения производится только работником IT-службы;

• для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт (токенов); пароли должны генерироваться администратором безопасности, выдаваться пользователю под роспись и храниться им так же, как и другая конфиденциальная информация;

• запрещается использование неучтенных носителей информации; на учтенных носителях выполняется маркировка, например, Iуказываются гриф, номер, должность и фамилия сотрудника.

Еще раз напомним о разумной достаточности и здравом смысле. Внедрение любой зашиты приводит к определенным неудобствам пользователя. Однако эти неудобства не должны быть существенными, иначе человек будет игнорировать существующие правила. Например, можно потребовать завести журнал пользователя персонального компьютера, в котором следует отмечать время начала и конца работы, характер выполняемых действий, наименование созданных файлов и т.д. Можно предусмотреть Процедуру удаления файлов под две росписи в журнале (и пр.), но вряд ли кто-нибудь и когда-нибудь будет выполнять столь вздорные требования. Другое дело, если подготовка каких-то важных Документов предусмотрена на специальном компьютере в службе безопасности. Здесь журнал учета работы пользователей будет не Только уместным, но и необходимым.

Крайне внимательно надо отнестись к подключению своих информационных ресурсов к Интернету. В политике безопасно­сти этот вопрос должен быть выделен в отдельный раздел. Под­ключение к Интернету обычно преследует следующие цели:

• получение информации из Интернета;

• размещение в Интернете своей информации о предоставляе­мых услугах, продаваемых товарах и т.д.;

• организация электронного магазина и т.п.;

• организация совместной работы удаленных офисов или работников на дому.

В первых трех случаях идеальным с точки зрения безопасности или о бы выделение для Интернета автономного компьютера, на котором ни в коем случае нельзя хранить конфиденциальную информацию. На компьютере должны быть обязательно установ­лены антивирусные средства защиты с актуальной базой, а также правильно настроенный межсетевой экран. Особый контроль надо установить за компьютером со сменными носителями информа­ции, а также за перлюстрацией исходящей почты. В некоторых организациях вся исходящая почта попадает вначале в руки адми­нистратора безопасности, который контролирует ее и пересылает дальше.

При необходимости организации распределенной работы со­трудников фирмы наиболее приемлемым решением являются вир­туальные частные сети (VPN). В настоящее время имеется много отечественных фирм-разработчиков, предоставляющих также услу­ги по установке и настройке соответствующего программного обес­печения.

Нарушения информационной безопасности могут произойти, несмотря на все принятые меры, поэтому в политике безопасно­сти должны быть обязательно предусмотрены меры по ликвида­ции таких последствий, восстановлению нормальной работоспо­собности фирмы и минимизации причиненного ущерба. Большое значение здесь имеет применение средств резервирования элект­ропитания, вычислительных средств, данных, а также правильная организация документооборота. Политика безопасности является документом верхнего уровня; Более детальные требования излагаются в регламенте безопасности совокупности документов, регламентирующих правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности.

В этих документах должен быть определен комплекс метал­лических, административных и технических мер, включающих [6]:

. создание подразделения, ответственного за обеспечение конфиденциальности информации (СОК);

. определение порядка допуска сотрудников к конфиденци­альной информации;

. определение обязанностей, ограничений и условий, накла­дываемых на сотрудников, допущенных к конфиденциальной информации;

. установление категории конфиденциальности информации определение категории конфиденциальности работ, проводимых' заказчиком, и информации, содержащейся в рабочих документах порядок изменения категории конфиденциальности работ и информации;

. требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается конфиденциальная информация, по категориям;

. требования к конфиденциальному делопроизводству;. требования к учету, хранению и обращению с конфиденциальными документами;

· меры по контролю за обеспечением конфиденциальности работ и информации;

· план мероприятий по противодействию атаке на конфиденциальную информацию (действия, которые надо предпринимать в случае обнаружения разглашения информации с целью пресечения процесса разглашения/утечки информации);

. план мероприятий по восстановлению конфиденциальности информации (действия, которые надо предпринимать после пре­сечения процесса разглашения/утечки информации);

. определение ответственности за разглашение конфиденциальной информации.

Для регламента обеспечения безопасности должны быть разра­ботаны следующие документы:

• инструкция по обеспечению режима конфиденциальности на предприятии;

• требования к пропускному и внутриобъектовому режиму;

• общие требования к системе разграничения доступа в поме­щения;

• инструкция по работе с кадрами, подлежащими допуску к конфиденциальной информации;

• требования к лицам, оформляемым на должность, требую­щую допуска к конфиденциальной информации;

• режим конфиденциальности при обработке конфиденциаль­ной информации с применением СВТ;

• концепция безопасности АС.

Все разработанные документы должны определять работу КСЗИ:

• в штатном режиме;

• при изменениях в штатном режиме;

• в нештатном режиме (аварийных ситуациях). Изложенное выше показывает, что КСЗИ является сложной

человеко-машинной системой, поэтому для ее анализа можно попользоваться положениями теории систем. Приведем некоторые основные моменты этой теории.