Разумная достаточность
Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Гибкость системы защиты
Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору). Однако, это вовсе не означает, что информация о конкретной системе защиты должна быть общедоступна.
Принцип простоты применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.). (18)
Сейчас можно выделить три различных концептуальных подхода к проектированию систем защиты:
Подход первый: "от продукта". Этого подхода придерживаются, как правило, компании-производители систем защиты информации, имеющие в своем составе проектную группу. Фактически, в таких компаниях интеграция выросла из просто внедренческого направления, в тот момент, когда заказчик попросил не просто продукт, а проект. Таким образом, вся технология проектирования ориентирована на то, чтобы продукт, производимый компанией, являлся центральным вне зависимости от решаемой задачи. Данный подход не всегда реально обоснован, особенно в условиях агрессивного маркетинга и позиционирования продукта, как "панацеи" от большинства угроз безопасности.
Однако, в случае, когда заказчик обладает достаточной квалификацией, чтобы широко смотреть на проблему защиты информации в целом и избегать однобоких решений, реализуются проекты высокого качества, что понятно - никто кроме производителя не знает продукта лучше. Но в этом случае требуется либо наличие собственных высококлассных специалистов, системных архитекторов, либо привлечение внешних консалтинговых компаний.
Позиция вторая - компания выступает поставщиком решений в области защиты информации. Понимая отсутствие единого продукта, защищающего от всех угроз, компания предлагает комплексное решение проблемы. Оно состоит из комбинации нескольких технологий защиты, например, межсетевых экранов для защиты от атак из интернета, VPN - для закрытия каналов связи и т.п. Вот, казалось бы, оптимальная позиция: каждая технология, каждый продукт занимает свою нишу и закрывают определенные угрозы. Но тут существует одна проблема.
Формально схема выглядит следующим образом: сейчас существуют четыре основные технологии защиты - межсетевое экранирование, VPN, криптографическая защита, активный аудит. В каждой технологии есть по 3-4 действительно работающих продукта. То есть, четыре технологии по четыре продукта образуют 16 кубиков, из которых может строиться система безопасности. Тогда задача архитектора системы защиты сводится к тому, чтобы найти, куда пристроить каждый кубик. Возникает искушение начинать строить систему, отталкиваясь не от потребностей заказчика, а от имеющихся в наличии средств защиты.
Может быть, такая технология работы была бы оправдана в условиях полностью электронного документооборота в организации, но российские реалии таковы, что большинство компьютерных систем в наших организациях представляет собой 300-400 печатных машинок, объединенных сетью. В условиях бумажного документооборота все документы готовятся на компьютере, распечатываются, а потом в бумажном виде движутся по организации. В сети существуют лишь очаги автоматизации, например, в бухгалтерии, в конструкторском отделе и т.п. А все остальные сотрудники общаются друг с другом, в лучшем случае, по e-mail или через общие папки. Поэтому бывает трудно объяснить, зачем использовать, например, VPN, если вся информация отправляется по почте или факсу. Или зачем устанавливать на компьютеры электронные замки, если все документы хранятся в shared папках, не закрыты паролями, и их может получить практически любой сотрудник.
Нельзя говорить, что подход от "кубиков" не приемлем и не жизнеспособен. В настоящее время существует большой неосвоенный рынок средних и мелких компаний, для которых слишком дорого покупать серьезные консалтинговые услуги компаний-интеграторов. Таким компаниям как раз и нужен некоторый набор продуктов и решений, которые могли бы просто объединяться в систему, придавая ей необходимую функциональность.
И существует третья позиция - самая сложная и достаточно редко встречающаяся на нашем рынке. Какова стандартная схема продажи некоторого продукта или системы? Поставщик приходит к заказчику, изучает его проблему и предлагает то или иное решение, продукт или варианты решения, либо заказчик организует тендер, получает несколько предложений. И в том и в другом случае заказчик самостоятельно принимает решение о том какую систему, технологию внедрять. Т.е. ответственность за принятие решений по защите информации возлагается на заказчика, который, вообще говоря, не является экспертом в области защиты информации. Самая сложная задача, которая может и должна стоять перед компанией-интегратором, - это принять на себя ответственность за выбор стратегии обеспечения безопасности организации, развитие системы, ее адекватность развивающимся технологиям. Системный интегратор должен реализовывать единую комплексную политику, как техническую, так и организационную, проводя ее на всех уровнях организации-заказчика.
Перед выработкой решения по информационной безопасности интегратор должен провести всестороннее глубокое обследование не просто информационной системы заказчика, а всей "информационной жизни" организации. Обследование должно вестись на трех уровнях: на уровне бизнес-процессов, который выявляет документальные потоки, типы обрабатываемой информации, уровни ее конфиденциальности; на инфраструктурном уровне - для выявления уязвимостей серверного парка, сетевого оборудования; на уровне приложений, на котором выявляются уязвимости в программном обеспечении, ошибки в настройках механизмов разграничения доступа и др.
На основе полученных данных необходимо формировать сначала концептуальное решение по защите информации, состоящее из комплекса организационных, процедурных и программно-аппаратных мер защиты, а затем, четко обосновывая выбор, предлагать внедрение тех или иных технологий защиты. При этом нужно учитывать, что подсистема информационной безопасности является поддерживающей системой по отношению ко всей информационной системе организации. Она не должна играть доминирующую роль в развитии организации и ее информационной системы. То есть система информационной безопасности должна защищать информацию, обеспечивающую бизнес-задачи организации.
Таким образом, любая система информационной безопасности, защищающая крупную организацию с распределенной информационной системой, или система, представляющая собой один межсетевой экран, должна быть разумно достаточной по отношению к организации, она не должна мешать работе сотрудников. Всегда должен быть адекватный выбор уровня защиты, правильный выбор технологий и средств защиты.(33)
Основными этапами работ по созданию КСЗИ являются:
-
обследование организации
Услуги по обследованию организации могут достаточно сильно различаться у разных поставщиков услуг. Это может быть анализ защищенности вычислительной системы, обследование вычислительной системы (гораздо более глубокий уровень детализации), обследование организации в целом, т.е. охват "бумажного" документооборота и бизнес процессов организации с точки зрения информационной безопасности, проверка на соответствие нормативно-правовым документам и т.п..
На стадии обследования организации:
-
устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой КСЗИ, оценивается уровень конфиденциальности и объемы;
-
определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;
-
анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;
-
определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;
-
определяются мероприятия по обеспечению режима секретности нп стадии разработки;(59)
-
проектирование системы защиты информации
При проектировании системы информационной безопасности могут быть охвачены как все три уровня мер защиты - организационного, процедурного и программно-аппаратного, так и исключительно технический уровень. Это два принципиально разных типа работ и по сути, и по объемам, т.к. первый предполагает разработку концепции информационной безопасности, нормативно-распорядительных документов, различных регламентов и только потом - технического проекта;
-
внедрение системы защиты информации
Заказчику выгодно использовать подрядную организации и не иметь проблем с единовременным привлечением большого количества специалистов по информационной безопасности, контролем качества выполняемых работ, выработкой единой политики безопасности;
-
сопровождение системы информационной безопасности
Оперативное реагирование на внештатные ситуации, периодическое обновление специального ПО, установка необходимых "заплат" на общесистемное ПО, отслеживание появления новых атак и уязвимостей;
-
обучение специалистов по защите информации
Обучение руководителей служб безопасности, руководителей IT-подразделений, пользователей средств защиты.