Защита информации является одним из необходимых условий работы для многих украинских компаний. Некоторые предприятия располагают собственным комплексом безопасности, состоящим из информационных систем, соответствующих отделов, политик и других элементов. Другим, нуждающимся в подобном комплексе, только предстоит его создать. Настоящая статья открывает цикл материалов, созданных экспертами в данной области и призванных помочь правильно построить корпоративную службу безопасности.

Информационная безопасность как система

Информационная безопасность является комплексом, в котором нельзя выделить более важные или менее важные составляющие. Информационную безопасность нельзя воспринимать иначе, чем комплекс. Необходимо соблюдать меры защиты во всех точках сети, при любой работе любых субъектов с корпоративной информацией. (Под субъектом в данном случае понимается пользователь системы, процесс, компьютер или программное обеспечение для обработки информации.) Каждый информационный ресурс, будь то компьютер пользователя, сервер организации или сетевое оборудование, должен быть защищён от всех возможных угроз.

Однако следует понимать, что обеспечить 100%-ную защиту невозможно. Тем более что с ростом уровня защищённости возрастает стоимость системы, она становиться неудобной в использовании, и это, в свою очередь, ведёт к ухудшению защиты из-за влияния человеческого фактора. Например, чрезмерное усложнение паролей приводит к тому, что пользователи записывают их на листках бумаги и приклеивают к мониторам, клавиатуре и пр.

Существует огромный перечень программного обеспечения, направленного на решение задач защиты информации. Это антивирусные программы, брандмауэры, встроенные средства операционных систем и многое другое. Однако следует помнить, что самым уязвимым звеном в защите всегда остаётся человек.

Для решения задач ИТ-безопасности многие организации создают службы (отделы) защиты информации (эксперты советуют не взваливать на службу ИТ не свойственные ей функции). Первым шагом после создания такого подразделения должно стать обучение его сотрудников. В дальнейшем оно должно превратиться в регулярный процесс. Не реже двух раз в год сотрудники отдела ИТ-безопасности должны проходить курсы повышения квалификации.

Первой серьёзной задачей этого отдела должен стать документ под названием “Политика безопасности организации”. Но, прежде чем приступить к его созданию, необходимо ответить на следующие вопросы:

1. Какую информацию обрабатывают сотрудники организации?
2. Как её классифицировать по её свойствам?
3. Какими ресурсами обладает компания?
4. Как распределена обработка информации по ресурсам?
5. Как классифицировать ресурсы?

Классификация информации

Исторически сложилось так, что классификация информации (в первую очередь, это относится к информации, принадлежащей государству) осуществляется по уровню секретности (конфиденциальности). О требованиях к обеспечению доступности, целостности, наблюдаемости если и вспоминают, то вскользь, среди общих требований к системам обработки информации.

Если такой подход ещё можно как-то оправдать необходимостью обеспечения государственной тайны, то перенос его в другую предметную область выглядит просто нелепо.

Во многих областях доля конфиденциальной информации сравнительно мала. Важнейшими свойствами открытой информации, ущерб от разглашения которой невелик, могут быть такие: доступность, целостность или защищённость от неправомерного копирования. К примеру, для web-страницы интернет-издания на первом месте будет стоять доступность и целостность информации, а не её конфиденциальность.

Попытки же рассматривать и классифицировать информацию только с позиций секретности сулят явный провал.

Согласно требованиям украинского законодательства, собственник информации сам определяет уровень её конфиденциальности (в случае если эта информация не принадлежит государству).

Категории защищаемой информации

Исходя из необходимости обеспечения различных уровней защиты информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в организации, можно ввести несколько категорий конфиденциальности и несколько категорий целостности защищаемой информации.

Категории конфиденциальности защищаемой информации:
совершенно конфиденциально — информация, признанная конфиденциальной согласно требованиям законов Украины, или информация, ограничения на распространение которой введены решением руководства, разглашение которой может привести к тяжёлым финансово-экономическим последствиям для организации вплоть до банкротства;
конфиденциально — к данной категории относится информация, не принадлежащая к категории “совершенно конфиденциально” и ограничения на распространение которой введены решением руководства в соответствии с предоставленными ему как собственнику информации действующим законодательством правами; разглашение этой информации может привести к значительным убыткам и потере конкурентоспособности организации (нанесению существенного ущерба интересам её клиентов, партнёров или сотрудников);
открытая — к данной категории относится информация, обеспечение конфиденциальности которой не требуется.

Категории целостности защищаемой информации

Высокая — информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба организации;
низкая — к данной категории относится информация, несанкционированная модификация которой может привести к нанесению незначительного ущерба организации, её клиентам, партнёрам или сотрудникам;
нет требований — к данной категории относится информация, к обеспечению целостности и аутентичности которой требований не предъявляется.

Категории функциональных задач

По степени доступности можно принять четыре категории в зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения.

Требуемые степени доступности функциональных задач:

реальное время — доступ к задаче должен обеспечиваться в любое время;
час — доступ к задаче должен осуществляться без существенных временных задержек (задача решается каждый день, задержка не превышает нескольких часов);
день — доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней);
неделя — временные задержки при доступе к задаче не установлены (период решения задачи составляет несколько недель или месяцев, допустимая задержка получения результата — несколько недель).

Категорирование информации состоит из нескольких этапов:

1. Категорирование всех видов информации, используемой при решении задач на конкретных компьютерах (установка категорий конфиденциальности, целостности и доступности конкретных видов информации).
2. Категорирование всех задач, которые решаются на данном компьютере.
3. Исходя из максимальных категорий обрабатываемой информации устанавливается категория компьютера, на котором она обрабатывается.

После категорирования информации необходимо провести инвентаризацию ресурсов.

Инвентаризация ресурсов

Прежде чем говорить о защите информации в организации, необходимо понять, что же следует защищать и какими ресурсами располагает компания. Для этого следует провести работы по инвентаризации и анализу всех ресурсов автоматизированной системы организации, подлежащих защите.

Инвентаризация и категорирование ресурсов, подлежащих защите, производится специальной рабочей группой. В состав этой группы включаются специалисты подразделения компьютерной безопасности и других подразделений организации, которые могут оказать помощь при рассмотрении вопросов технологии автоматизированной обработки информации в организации.

Для того чтобы созданная группа обладала необходимым организационно-правовым статусом, издаётся соответствующее распоряжение руководства организации, в котором указывается, что все руководители соответствующих подразделений организации должны оказывать содействие и необходимую помощь рабочей группе в анализе ресурсов всех компьютеров.

Для оказания помощи на время работы группы в подразделениях руководителями этих подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам автоматизированной обработки информации в данных подразделениях. Такое распоряжение доводится под роспись всем руководителям соответствующих подразделений. В ходе обследования (анализа) организации и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с использованием компьютеров, а также все виды информации, используемые для решения этих задач в подразделениях. По окончании обследования составляется формуляр задач, решаемых в организации. Для каждой задачи оформляется свой формуляр. Подчеркнём, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учёт программных средств, используемых при решении функциональных задач подразделения.

Следует учесть, что в ходе обследования выявляются все виды информации (входящая, исходящая, хранимая, обрабатываемая и т.д.). Выявлять необходимо не только конфиденциальную информацию, но и информацию, нарушение целостности или доступности которой может нанести ощутимый ущерб организации.

При анализе информации, обрабатываемой в организации, оценивается и серьёзность последствий, которые могут быть вызваны нарушением её свойств. Для этого проводят опросы (тестирование, анкетирование) специалистов, работающих с ней. Также необходимо выяснить, кому выгодно незаконно использовать или воздействовать на эту информацию. Если нельзя провести количественную оценку возможного ущерба, можно определить его качественную оценку (низкий, высокий, очень высокий).

Для понимания категорий доступности необходимо при анализе задач, решаемых в организации, выяснять максимально допустимое время задержки результатов, периодичность их решения и серьёзность последствий при нарушении их доступности (блокировании задач).

В ходе анализа каждый из видов информации должен быть отнесен к определённой степени (грифу) конфиденциальности (на основании требований действующего законодательства и предоставленных организации прав).

При этом для оценки категории конфиденциальности конкретных видов информации у руководителей (ведущих специалистов) структурного подразделения выясняются их личные оценки вероятного ущерба от нарушения свойств конфиденциальности и целостности информации. По окончании анализа составляется список информационных ресурсов, подлежащих защите, который согласовывается с руководителями отделов подразделений ИТ и компьютерной безопасности и выдвигается на рассмотрение руководства организации.

По окончании данного этапа необходимо провести категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных со службой ИТ, категорируются (с точки зрения доступности) все прикладные задачи, решаемые в подразделениях.

Информация о категориях прикладных задач заносится в формуляры задач. Следует учесть, что нельзя проводить категорирование системных задач и программных средств вне привязки к конкретным компьютерам и прикладным задачам.

В дальнейшем при участии специалистов службы ИТ и подразделения защиты информации необходимо уточнить состав ресурсов (информационных, программных) каждой задачи и внести в формуляр (конкретной задачи) сведения по группам пользователей данной задачи и указания по настройке применяемых при её решении средств защиты (например, полномочия доступа групп пользователей к перечисленным ресурсам задачи). В дальнейшем на основании этих сведений будет производиться настройка средств защиты компьютеров, на которых будет решаться данная задача.

На следующем этапе происходит категорирование компьютеров. Категория компьютера устанавливается исходя из максимальной категории задач, решаемых на нём, и максимальных категорий конфиденциальности и целостности информации, используемой при решении этих задач. Информация о категории компьютера заносится в его формуляр.

В понятие инвентаризации ресурсов входит не только сверка тех активных и пассивных сетевых ресурсов, которыми вы обладаете, со списком оборудования (и его комплектности), закупленного организацией. Для этого необходимо использовать соответствующее программное обеспечение (например, Microsoft SMS Server). Сюда же можно отнести создание карты сети с описанием всех возможных точек подключения, списка используемого программного обеспечения, создание фонда эталонов лицензионного ПО, применяемого в организации, создание фонда алгоритмов и программ собственной разработки.

Следует учесть, что программное обеспечение может быть допущено к работе лишь после его проверки отделом защиты информации на соответствие поставленным задачам и отсутствие всевозможных закладок и “логических бомб”.

После проверки эталонное программное обеспечение заносится в фонд алгоритмов и программ (эталонная копия должна сопровождаться файлом контрольной суммы, а лучше электронной подписью разработчика). В дальнейшем при смене версий, появлении обновлений проверка ПО производится в установленном порядке.

В дальнейшем в формуляр каждого компьютера заносятся сведения об установленном программном обеспечении, дате установки, цели, решаемых с помощью данного ПО задачах и фамилии и подписи лица, производившего установку и настройку программ. После создания подобных формуляров служба информационной безопасности должна обеспечивать регулярную проверку соответствия реального положения формуляру.

Следующим этапом в построении службы защиты информации должен являться анализ рисков организации, из которого будет вытекать создание политики безопасности. 

Автор материала — руководитель программы подготовки администраторов информационной безопасности Академии “БМС Консалтинг”. Связаться с ним можно по адресу:
Vladimir_Bezmaly@bms-consulting.com
Продолжение темы — в следующих номерах PCWeek/UЕ.