Компания Х: первые шаги к обеспечению информационной безопасности
![Компания Х: первые шаги к обеспечению информационной безопасности](/images/defaultCover.png)
Вопросам информационной безопасности (ИБ) посвящено много статей и работ. Российская школа ИБ может гордиться уровнем и количеством подготовленных специалистов. В этой статье я хотел "крупными мазками" описать проблематику построения системы безопасности
Д.В.Костров,
начальник Отдела информационной безопасности ОАО "МТТ"
Вопросам информационной безопасности (ИБ) посвящено много статей и работ. Российская школа ИБ может гордиться уровнем и количеством подготовленных специалистов. В этой статье я хотел "крупными мазками" описать проблематику построения системы безопасности современной компании, не углубляясь в технические подробности. При этом постараюсь выразить только свое мнение в описываемых вопросах.
Очень часто специалисты в области ИБ задумываются о первых шагах при построении системы обеспечения ИБ компании. Что делать? С чего начинать? Ситуация с еще действующими руководящими документами ФСТЭК России (РД и СТР-К) и действующими ГОСТ 15408 и ISO 2700X только запутывает ситуацию.
Для отрасли "Связь" можно описать три направления работ по обеспечению безопасности Компании Х:
1. Обеспечение безопасности сети и подсистем предоставления услуг (что приносит прибыль);
2. Обеспечения безопасности АСР (что "считает" прибыль);
3. Обеспечение безопасности офисной компьютерной сети (поддержка работоспособности офиса).
Обеспечение информационной безопасности обычно включает обеспечение следующих свойств информации:
● конфиденциальность;
● целостность;
● доступность.
Однако в некоторых публикациях при рассмотрении технологий в решениях по управлению идентификацией и доступом (IAM – IdentityandAccessManagement) выделяет сегмент "4A", включая в него Аутентификацию, Авторизацию, Администрирование и Аудит. В этих решениях выделяется следующие две основные функции:
1. функция управления - администрирование и аудит;
2. функция правоприменения в режиме реального времени (real-timeenforcement) – авторизация и аутентификация.
Обычно первым шагом при создании системы ИБ любого коммерческого предприятия является определение наиболее важных активов, которые необходимо защитить. Это может быть как сервер, так и файл с важной информацией. Также на этом этапе необходимо провести категоризацию информации по уровням конфиденциальности. Обычно информацию делят на три уровня: открытая информация, информация для внутреннего использования, информация, составляющая коммерческую тайну.
Категорирование информационных ресурсов должно производиться в соответствии с документом "Положение по разграничению информации по грифу конфиденциальности и ее защите в Компании Х"", а также законодательным и нормативно-распорядительными документами Российской Федерации в области защиты информации. В соответствии с положениями этих документов вводятся следующие категории информации:
● открытая информация (ОИ);
● информация для служебного/внутреннего пользования/использования (ДСП/ДВИ);
● конфиденциальная информация (КИ), включающая:
● персональные данные;
● коммерческую тайну;
● служебную тайну;
● профессиональную тайну.
Право на отнесение информации к какому либо грифу конфиденциальности и определение перечня и состава такой информации принадлежит обладателю этой информации.
При этом надо четко понимать, что рассматриваемый документ не описывает работу с информацией, составляющей государственную тайну
К защите информации применяются три базовых принципа:
● конфиденциальность;
● целостность;
● доступность.
К открытой информации (ОИ) обычно относится:
● информация, подписанная руководством, для передачи вовне (например, для конференций, презентаций и т.п.);
● информация, полученная из внешних открытых источников;
● информация, находящаяся на внешнем Web-сайте Компании.
К защите ОИ применяются следующие принципы:
● целостность;
● доступность.
К информации ДВИ относится любая информация, используемая сотрудниками в рамках своих подразделений, тематических групп или Компании Х в целом, которая:
● циркулирует между подразделениями и необходима для нормального их функционирования (например, на внутреннем Web-сайте);
● является результатом работ с информацией из открытых источников (например, дайджест новостей по телекоммуникационному рынку для руководства);
● не относится к информации конфиденциального характера;
● не относится к открытой информации.
К защите ДВИ применяются следующие принципы:
● целостность;
● доступность.
К защите конфиденциальной информации (КИ) применяются следующие принципы:
● конфиденциальность;
● целостность;
● доступность.
Каждый руководитель структурного подразделения должен знать, есть ли у него информация (в электронном виде или на бумажных носителях), которую (хотя бы) потенциально можно отнести к коммерческой тайне.
Руководитель должен осознавать ценность информации, с которой работает его подразделение. Критерием может быть оценка важности информации для потенциальных конкурентов и недобросовестных клиентов, поставщиков и т.п.
На следующем этапе применяется анализ рисков ИБ. Часто в основе проводимых работ по анализу рисков лежит метод CRAMM. Метод CRAMM (theUKGovermentRiskAnalysisandManagmentMethod) используется с 1985?г. правительственными и коммерческими организациями Великобритании. За это время он приобрел популярность во всем мире. Ниже излагается сущность метода CRAMM и основные этапы его использования.
CRAMM предполагает разделение всей процедуры на три последовательных этапа. Задачей первого этапа является ответ на вопрос: "Достаточно ли для защиты системы применения средств базового уровня, реализующих стандартные механизмы безопасности, или необходимо проведение детального анализа защищенности?". На втором этапе производится идентификация рисков и оценивается их величина. На третьем этапе решается вопрос о выборе адекватных контрмер.
Первый этап
Список задач:
● Подготовка функциональной спецификации системы и согласование границ проведения обследования данной системы.
● Идентификация информационных, программных и физических ресурсов и создание модели ресурсов исследуемой системы.
● Оценка критичности информационных ресурсов с точки зрения величины возможного ущерба от их несанкционированного раскрытия, модификации, уничтожения или их временной недоступности. С этой целью проводятся опросы пользователей и владельцев ресурсов. Предлагаются соответствующие формы (анкеты), помогающие структурировать опрос и инструкции для анализа результатов опросов.
● Оценка физических ресурсов с точки зрения стоимости их замены или ремонта.
● Оценка программных ресурсов с точки зрения стоимости их замены или восстановления, а также величины ущерба от их недоступности, раскрытия или модификации.
Если уровень критичности ресурсов является очень низким, то к системе предъявляются только требования безопасности базового уровня. В этом случае большая часть мероприятий второго этапа не выполняется, а осуществляется переход к третьему этапу, на котором генерируется список адекватных контрмер базового уровня.
Второй этап
На втором этапе производится анализ угроз безопасности и уязвимостей.
Список задач:
● Идентификация угроз в отношении конкретных ресурсов, требующих проведения детального анализа.
● Оценка уровня угроз (вероятности их осуществления).
● Оценка уязвимости системы по отношению к конкретным угрозам (вероятности причинения ущерба).
● Вычисление рисков, связанных с осуществлением угроз безопасности, на основе оценки стоимости ресурсов, оценки уровня угроз и оценки уязвимостей.
Для оценки уязвимости системы используются специальные "опросники" (анкеты), содержащие формулировки вопросов и варианты возможных ответов. При проведении анализа рисков системы существующие контрмеры, применяемые в системе (существующие средства защиты информации, организационные меры защиты), игнорируются с целью избежать неверных предположений относительно их эффективности.
Третий этап
На третьем этапе решается задача управления рисками, состоящая в выборе адекватных контрмер.
Список задач:
● Разработка системы контрмер для уменьшения величины идентифицированных рисков.
● В случае наличия в системе средств защиты, осуществляется их сравнение с полученным списком контрмер.
● Разработка рекомендаций по использованию адекватных контрмер.
Решение о реализации новых механизмов безопасности и модификация старых принимает руководство организации, учитывая связанные с этим денежные и трудовые затраты, их приемлемость и конечную выгоду для бизнеса.
На основании анализа рисков определяется набор необходимых и достаточных средств и методов защиты.
Для минимизации рисков от успешной реализации угроз информационной безопасности необходимо применение рекомендаций организационного уровня, и только сочетание применения технических средств и организационных мер позволит обеспечить должный уровень защищенности системы от различного рода угроз информационной безопасности.
Источник: Журнал "Information Security"
Комментарии 0