Д.В.Костров,

начальник Отдела информационной безопасности ОАО "МТТ"

Вопросам информационной безопасности (ИБ) посвящено много статей и работ. Российская школа ИБ может гордиться уровнем и количеством подготовленных специалистов. В этой статье я хотел "крупными мазками" описать проблематику построения системы безопасности современной компании, не углубляясь в технические подробности. При этом постараюсь выразить только свое мнение в описываемых вопросах.

Очень часто специалисты в области ИБ задумываются о первых шагах при построении системы обеспечения ИБ компании. Что делать? С чего начинать? Ситуация с еще действующими руководящими документами ФСТЭК России (РД и СТР-К) и действующими ГОСТ 15408 и ISO 2700X только запутывает ситуацию.

Для отрасли "Связь" можно описать три направления работ по обеспечению безопасности Компании Х:

                   1. Обеспечение безопасности сети и подсистем предоставления услуг (что приносит прибыль);

                   2. Обеспечения безопасности АСР (что "считает" прибыль);

                   3. Обеспечение безопасности офисной компьютерной сети (поддержка работоспособности офиса).

Обеспечение информационной безопасности обычно включает обеспечение следующих свойств информации:

●     конфиденциальность;

●     целостность;

●     доступность.

Однако в некоторых публикациях при рассмотрении технологий в решениях по управлению идентификацией и доступом (IAM – IdentityandAccessManagement) выделяет сегмент "4A", включая в него Аутентификацию, Авторизацию, Администрирование и Аудит. В этих решениях выделяется следующие две основные функции:

                   1. функция управления - администрирование и аудит;

                   2. функция правоприменения в режиме реального времени (real-timeenforcement) – авторизация и аутентификация.

Обычно первым шагом при создании системы ИБ любого коммерческого предприятия является определение наиболее важных активов, которые необходимо защитить. Это может быть как сервер, так и файл с важной информацией. Также на этом этапе необходимо провести категоризацию информации по уровням конфиденциальности. Обычно информацию делят на три уровня: открытая информация, информация для внутреннего использования, информация, составляющая коммерческую тайну.

Категорирование информационных ресурсов должно производиться в соответствии с документом "Положение по разграничению информации по грифу конфиденциальности и ее защите в Компании Х"", а также законодательным и нормативно-распорядительными документами Российской Федерации в области защиты информации. В соответствии с положениями этих документов вводятся следующие категории информации:

●     открытая информация (ОИ);

●     информация для служебного/внутреннего пользования/использования (ДСП/ДВИ);

●     конфиденциальная информация (КИ), включающая:

●     персональные данные;

●     коммерческую тайну;

●     служебную тайну;

●     профессиональную тайну.

Право на отнесение информации к какому либо грифу конфиденциальности и определение перечня и состава такой информации принадлежит обладателю этой информации.

При этом надо четко понимать, что рассматриваемый документ не описывает работу с информацией, составляющей государственную тайну

 

К защите информации применяются три базовых принципа:

●     конфиденциальность;

●     целостность;

●     доступность.

К открытой информации (ОИ) обычно относится:

●     информация, подписанная руководством, для передачи вовне (например, для конференций, презентаций и т.п.);

●     информация, полученная из внешних открытых источников;

●     информация, находящаяся на внешнем Web-сайте Компании.

К защите ОИ применяются следующие принципы:

●     целостность;

●     доступность.

К информации ДВИ относится любая информация, используемая сотрудниками в рамках своих подразделений, тематических групп или Компании Х в целом, которая:

●     циркулирует между подразделениями и необходима для нормального их функционирования (например, на внутреннем Web-сайте);

●     является результатом работ с информацией из открытых источников (например, дайджест новостей по телекоммуникационному рынку для руководства);

●     не относится к информации конфиденциального характера;

●     не относится к открытой информации.

К защите ДВИ применяются следующие принципы:

●     целостность;

●     доступность.

К защите конфиденциальной информации (КИ) применяются следующие принципы:

●     конфиденциальность;

●     целостность;

●     доступность.

Каждый руководитель структурного подразделения должен знать, есть ли у него информация (в электронном виде или на бумажных носителях), которую (хотя бы) потенциально можно отнести к коммерческой тайне.

Руководитель должен осознавать ценность информации, с которой работает его подразделение. Критерием может быть оценка важности информации для потенциальных конкурентов и недобросовестных клиентов, поставщиков и т.п.

На следующем этапе применяется анализ рисков ИБ. Часто в основе проводимых работ по анализу рисков лежит метод CRAMM. Метод CRAMM (theUKGovermentRiskAnalysisandManagmentMethod) используется с 1985?г. правительственными и коммерческими организациями Великобритании. За это время он приобрел популярность во всем мире. Ниже излагается сущность метода CRAMM и основные этапы его использования.

CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: "Достаточно ли для защиты системы применения средств базового уровня, реализующих стандартные механизмы безопасности, или необходимо проведение детального анализа защищенности?". На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.

Первый этап

Список задач:

●     Подготовка функциональной спецификации системы и согласование границ проведения обследования данной системы.

●     Идентификация информационных, программных и физических ресурсов и создание модели ресурсов исследуемой системы.

●     Оценка критичности информационных ресурсов с точки зрения величины возможного ущерба от их несанкционированного раскрытия, модификации, уничтожения или их временной недоступности. С этой целью проводятся опросы пользователей и владельцев ресурсов. Предлагаются соответствующие формы (анкеты), помогающие структурировать опрос и инструкции для анализа результатов опросов.

●     Оценка физических ресурсов с точки зрения стоимости их замены или ремонта.

●     Оценка программных ресурсов с точки зрения стоимости их замены или восстановления, а также величины ущерба от их недоступности, раскрытия или модификации.

Если уровень критичности ресурсов является очень низким, то к системе предъявляются только требования безопасности базового уровня. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется список адекватных контрмер базового уровня.

Второй этап

На втором этапе производится анализ угроз безопасности и уязвимостей.

Список задач:

●     Идентификация угроз в отношении конкретных ресурсов, требующих проведения детального анализа.

●     Оценка уровня угроз (вероятности их осуществления).

●     Оценка уязвимости системы по отношению к конкретным угрозам (вероятности причинения ущерба).

●     Вычисление рисков, связанных с осуществлением угроз безопасности, на основе оценки стоимости ресурсов, оценки уровня угроз и оценки уязвимостей.

Для оценки уязвимости системы используются специальные "опросники" (анкеты), содержащие формулировки вопросов и варианты возможных ответов. При проведении анализа рисков системы существующие контрмеры, применяемые в системе (существующие средства защиты информации, организационные меры защиты), игнорируются с целью избежать неверных предположений относительно их эффективности.

Третий этап

На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер.

Список задач:

●     Разработка системы контрмер для уменьшения величины идентифицированных рисков.

●     В случае наличия в системе средств защиты, осуществляется их сравнение с полученным списком контрмер.

●     Разработка рекомендаций по использованию адекватных контрмер.

Решение о реализации новых механизмов безопасности и модификация старых принимает руководство организации, учитывая связанные с этим денежные и трудовые затраты, их приемлемость и конечную выгоду для бизнеса.

На основании анализа рисков определяется набор необходимых и достаточных средств и методов защиты.

Для минимизации рисков от успешной реализации угроз информационной безопасности необходимо применение рекомендаций организационного уровня, и только сочетание применения технических средств и организационных мер позволит обеспечить должный уровень защищенности системы от различного рода угроз информационной безопасности.