- •Часть 3. Организационно-техниЧеское обеспеЧение информационной безопасности
- •6. Административный уровень обеспечения информационной безопасности
- •6.1. Разработка политики безопасности
- •Доводы за выбор стратегии ответных действий на нарушение
- •6.2. Проведение анализа риска
- •6.2.1. Основные этапы анализа риска
- •6.2.2. Предварительный этап анализа риска
- •6.2.3. Идентификация активов
- •Основные активы информационной системы предприятия
- •6.2.4. Анализ угроз
- •Примеры угроз информационной системы
- •Обобщенные источники угроз безопасности информационной системы
- •6.2.5. Оценка рисков
- •Логарифмическая частота угрозы
- •6.2.6. Выбор и проверка защитных мер
Часть 3. Организационно-техниЧеское обеспеЧение информационной безопасности
6. Административный уровень обеспечения информационной безопасности
После определения правовых основ безопасности автоматизированных (АС) следует осуществление практических мероприятий по созданию системы обеспечения безопасности информации (ОБИ). Указанные мероприятия включают следующие этапы [14, 24, 45, 56, 57, 60, 62, 70]:
Разработка политики безопасности;
Проведение анализа рисков;
Планирование обеспечения информационной безопасности;
Планирование действий в чрезвычайных ситуациях;
Подбор механизмов и средств обеспечения информационной безопасности.
Первые два этапа обычно трактуются как выработка политики безопасности и составляют так называемый административный уровень системы ОБИ предприятия.
Третий и четвертый этапы заключаются в разработке процедур безопасности. На этих этапах формируется уровень планирования системы ОБИ.
На последнем этапе практических мероприятий определяется программно-технический уровень системы ОБИ.
Законы и стандарты в области информационной безопасности являются лишь отправным нормативным базисом системы ОБИ информационной системы. Основой практического построения интегрированной системы является создание административного уровня системы, определяющее генеральное направление работ по ОБИ.
Целью административного уровня является разработка программы работ в области информационной безопасности и обеспечение ее выполнения. Программа представляет официальную политику безопасности, отражающую собственный концептуальный подход организации к ОБИ. Конкретизация политики безопасности выражается в планах по информационной защите АС.
6.1. Разработка политики безопасности
В “Оранжевой книге” [76] политика безопасности (security policy) трактуется как набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. На практике политика безопасности трактуется несколько шире — как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса. Результатом политики является высокоуровневый документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности.
Данный документ представляет методологическую основу практических мер (процедур) по реализации ОБИ и содержит следующие группы сведений.
Основные положения информационной безопасности.
Область применения.
Цели и задачи обеспечения информационной безопасности.
Распределение ролей и ответственности.
Общие обязанности.
Основные положения определяют важность ОБИ, общие проблемы безопасности, направления их решения, роль сотрудников, нормативно-правовые основы.
Областью применения политики безопасности являются основные активы и подсистемы АС, подлежащие защите. Типовыми активами являются программно-аппаратное и информационное обеспечение АС, персонал, в отдельных случаях информационная инфраструктура предприятия.
Цели, задачи, критерии ОБИ вытекают из функционального назначения предприятия. Например, для режимных организаций на первое место ставится соблюдение конфиденциальности. Для сервисных информационных служб реального времени важным является обеспечение доступности (оперативной готовности) подсистем. Для информационных хранилищ актуальным может быть обеспечение целостности данных и т.д. Здесь указываются законы и правила организации, которые следует учитывать при проведении работ по ОБИ.
Типовыми целями могут быть следующие:
обеспечение уровня безопасности, соответствующего нормативным документам предприятия;
следование экономической целесообразности в выборе защитных мер;
обеспечение соответствующего уровня безопасности в конкретных функциональных областях АС;
обеспечение подотчетности всех действий пользователей с информационными ресурсами и анализа регистрационной информации;
выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы АС и др.
Если предприятие не является изолированным, цели и задачи рассматриваются в более широком контексте: должны быть оговорены вопросы безопасного взаимного влияния локальных и удаленных подсистем.
В рассматриваемом документе могут быть конкретизированы некоторые стратегические принципы безопасности (вытекающие из целей и задач ОБИ). Таковыми являются стратегии действий в случае нарушения политики безопасности предприятия и сторонних организаций, взаимодействия с внешними организациями, правоохранительными органами, прессой и др. В качестве примера можно привести две стратегии ответных действий на нарушение безопасности:
“выследить и осудить”, когда злоумышленнику позволяют продолжить действия с целью его компрометации и наказания (данную стратегию одобряют правоохранительные органы!);
“защититься и продолжить”, когда организация опасается за уязвимость информационных ресурсов и оказывает максимальное противодействие нарушению.
Обстоятельства, позволяющие выбрать стратегию, приведены в таблице 6.1.
Таблица 6.1.