Глава 1. Политика информационной безопасности организации

1.1. Основные этапы построения политики информационной безопасности

В основе безопасности организации и в первую очередь безопасности ее информационной системы (ИС) лежит политика информационной безопасности (далее – Политика) [15-17]. В широком смысле политика безопасности определяется как система документированных управленческих решений по обеспечению информационной безопасности организации, в узком — как локальный нормативный документ, определяющий требования безопасности, систему мер либо порядок действий, а также ответственность сотрудников и механизмы контроля для определенной области обеспечения информационной безопасности.

Под политикой информационной безопасности понимается формальная спецификация правил и рекомендаций, требований и руководящих принципов в области ИБ, которыми руководствуются хозяйствующие субъекты организации в своей деятельности и на основе которых пользователи ИС используют, накапливают и распоряжаются информационными ресурсами и технологическими ценностями. Политика ИС организации является основополагающим документом, определяющим систему приоритетов, принципов и методов достижения целей обеспечения защищенности активов ИС организации в условиях наличия угроз.

Основные этапы построения политики информационной безопасности ИС включают в себя:

– описание объекта защиты;

– определение основных приоритетов информационной безопасности;

–разработка модели нарушителя ИБ и модели угроз ИБ;

– определение перечня требований ИБ ИС;

– разработка организационно-технических предложений по методам и механизмам защиты ИС организации;

– разработка организационно-технических требований по мониторингу и контролю эффективности ИБ организации.

1.2. Структура объекта защиты

Корпоративная ИС представляет собой совокупность территориально разнесенных объектов, между которыми осуществляется информационный обмен.

ИС предназначена для обеспечения работоспособности информационной инфраструктуры организации, предоставления сотрудникам структурных подразделений различных видов информационных сервисов, автоматизации финансовой и производственной деятельности, а также бизнес-процессов. Перечислим основные особенности распределенной ИС:

– территориальная разнесенность компонентов системы и наличие интенсивного обмена информацией между ними;

– широкий спектр используемых способов представления, хранения и передачи информации;

– интеграция данных различного назначения, принадлежащих различным субъектам, в рамках единых баз данных и наоборот – размещение необходимых некоторым субъектам данных в различных удаленных узлах сети;

– абстрагирование владельцев данных от физических структур и места размещения данных;

– использование режимов распределенной обработки данных;

– участие в процессе автоматизированной обработки информации большого количества пользователей и персонала различных категорий;

– непосредственный и одновременный доступ к ресурсам (в том числе и информационным) большого числа пользователей (субъектов) различных категорий;

– высокая степень разнородности используемых средств вычислительной техники и связи, а также их программного обеспечения.

Современные ИС строятся, как правило, на архитектуре «клиент-сервер» с применением технологии виртуальных серверов и предусматривают «закрытый» и «открытый» контуры обработки, хранения и передачи информации (рис.1.1).

Рис. 1.1. Обобщенная схема информационных потоков в ИС

В «закрытом» контуре, который может иметь различные классы защищенности, обрабатывается конфиденциальная информация с различным грифом секретности, а в «открытом» контуре – открытая информация. При этом сертифицированными средствами однонаправленной передачи информации обеспечивается только односторонняя передача информации из «открытого» контура в «закрытый». Вешнее взаимодействие ИС с корпоративными системами осуществляется через «закрытый» контур с применением сертифицированных средств криптографической защиты информации (СКЗИ) с шифрованием информации, а с другими системами – через «открытый» контур с применением сертифицированных межсетевых экранов (МЭ). В качестве базового сетевого протокола используется IP-протокол.

В общем случае корпоративная ИС организации на технологии «клиент-сервер» включают в себя следующие функциональные компоненты:

– серверы СУБД и файл-серверы «закрытого» и «открытого» контуров, осуществляющие обработку и хранение информации;

– автоматизированные рабочие места (АРМ) пользователей «закрытого» и «открытого» контуров ИС;

– корпоративную мультисервисную сеть связи (МСС) на основе IP-QoS технологий, включающая в себя защищенную WAN-компоненту, обеспечивающую связь территориально удаленных локальных вычислительных сетей (ЛВС) «закрытых» контуров. В корпоративную сеть входят структурированные кабельные системы (СКС), на базе которых строятся ЛВС «закрытого» и «открытого» контуров, сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы, мультиплексоры, межсетевые экраны и т. д.) и внешние защищенные каналы связи. Связь территориально удаленных «открытых» контуров ЛВС осуществляется по сетям связи общего пользования (Интернет, LTE и др.) с использованием технологии VPN.