Конспект (7)

Лабораторная работа 7.

Составление плана мероприятий по улучшению защищённости объекта информатизации.

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Главная цель создания СЗИ — достижение максимальной эффективности защиты за счет одновременного использования всех необходимых ресурсов, методов и средств, исключающих несанкционированный доступ к защищаемой информации и обеспечивающих физическую сохранность ее носителей.

Организация — это совокупность элементов (людей, органов, подразделений) объединенных для достижения какой-либо цели, решения какой-либо задачи на основе разделения труда, распределения обязанностей и иерархической структуры.

Организация защиты информации

С приемлемой степенью точности классифицируем информацию по важности для последующего выбора средств защиты и определения прав доступа. За точку отсчета, к примеру, можно принять требования закона РФ "О персональных данных", выполнение которых он обязывает практически все компании. Это позволяет определить относительную важность всей информации и, впоследствии, определить необходимые средства для ее защиты, обеспечивающие не только требования закона, но и противодействие интересам последних групп потенциальных и реальных пользователей.

Перечисленные ранее действия вполне по силам заинтересованным сотрудникам предприятия, имеющим соответствующие полномочия, но, поскольку они не являются специалистами в сфере защиты информации и информационной безопасности, остаются исключения:

настройка конфигураций программно-технических средств обеспечивает их функционирование и не отвечает требованиям безопасности;

традиционная (исторически сложившаяся) архитектура сети, как правило, не обеспечивает необходимую защиту информационных ресурсов и технологий их обработки;

нельзя проверять самого себя - решения сотрудников могут содержать ошибки; технический персонал не владеет полной информацией о степени важности различных данных;

технический персонал не может оценивать целесообразность принятых административных решений.

Следующий шаг - увязываем полученные данные. Начнем с программно-технических средств. Убеждаемся, что параметры операционных систем (OC) рабочих станций, как правило и к сожалению, соответствуют настройке поставщика ОС, а все изменения, если и производились, были сделаны с единственной целью обеспечения требуемого функционирования. То же самое относится и к штатным службам и прочим сервисам, в том числе и действующим на серверах предприятия, что недопустимо.

Эти обстоятельства диктуют новые условия продолжения работы, а дальнейшие шаги требуют привлечения специалистов для согласованной работы по защите информации. Придется обратиться к специализированной компании для выполнения комплекса работ, перечисленных в предыдущем абзаце. Преимущества такого выбора описаны и хорошо известны. Приведем основные - персонал привлеченной компании обладает штатом экспертов с уникальным объемом знаний и практическим опытом в смежных областях ИТ-сферы:

информационная безопасность и защита информации, в т.ч. моделирование процессов, анализ рисков и угроз;

архитектура телекоммуникационных сетей;

операционные системы и штатные сервисы;

прикладное программное обеспечение, приложения;

защитное программное обеспечение;

технические программные средства защиты информации;

прочие ИТ-технологии и средства.

Достигнутое впечатляет, но только неискушенных. Сам человек, как источник сведений и их основной потребитель пока остается в стороне, а "человеческий" фактор — наиболее частая причина утечки или потери информации, т.е. безопасность предприятия определяется и мерой ответственности работника за действия, которые он совершает, и без внедрения или детализации формальных отношений поставленная цель останется по-прежнему не близкой

Принимаемся за разработку и внедрение организационноадминистративных мер, регулирующих правила работы с информационными ресурсами и действия персонала в нештатных ситуациях. Масштаб работы, глубина проработки и формализации процессов и конечное количество документов определяются совместной работой группы ответственного управленческого персонала предприятия и специалистами привлеченной компании. Придется пролистать и заметно "освежить" трудовые контракты, должностные инструкции и действующие на предприятии инструкции на предмет определения зон ответственности и соглашений о конфиденциальности, определить перечень необходимых инструкций и правил работы с программными и техническими средствами, регламенты резервного копирования, определить методы доступа к информационным ресурсам, в частности, разработать политику парольной защиты, предусмотреть, наконец, правила действия сотрудников в нештатных ситуациях.

Следует заметить, что предложенная последовательность действий - фактическая квинтэссенция нашего опыта по организации информационной безопасности предприятий с различными формами собственности, разных сфер деятельности и разной величины - от нескольких рабочих мест в одном помещении до территориально распределенной структуры с полуторатысячным коллективом. Деньги считают все одинаково.

Безусловно, подобный подход имеет некоторые недостатки с точки зрения построения комплексной системы управления информационной безопасностью, но это уже другая задача, а преимущества рассмотренного решения очевидны:

достигнута поставленная цель - конфиденциальная информация защищена; значительная часть работ выполнена штатным заинтересованным персоналом; документировано текущее состояние информационной системы предприятия; предложенный подход позволил избежать неоправданной бюрократической волокиты с распределением обязанностей при выполнении работ;

предельно снижены затраты на достижение цели;

создана логически увязанная система защиты информации;

создана база для построения системы информационной безопасности;

существенно повышен уровень экономической безопасности предприятия.

Следует оценить и следующий факт - при настройке программнотехнических средств использованы передовые методики и рекомендации, разработанные различными отечественными и зарубежными ведомствами, специализированными в сфере защиты информации и информационной безопасности, в том числе и военизированными.