4. Политика обеспечения информационной безопасности

В первую очередь необходимо ответить на следующие вопросы, возникающие при построении системы защиты корпоративной сети организации:

1. С чего начать построение системы защиты?

2. Как определить цели и задачи организационных и технических мер защиты информации?

3. Как выбрать (либо спроектировать) средство добавочной защиты, наилучшим образом отвечающее потребностям организации?

Под политикой информационной безопасности понимается совокупность распорядительных документов, регламентирующих все аспекты обработки информации на предприятии.

1. Перечень и классификация обрабатываемой информации

Прежде всего, необходимо определиться с тем, какая информация обрабатывается в организации и как она может быть классифицирована (секретная, информация конфиденциального характера, персональные данные, служебная тайна, ограниченного доступа, коммерческая тайна и др.). Не определив, что защищать, невозможно в принципе решать вопрос о том, как защищать.

При классификации информации необходимо учитывать формализованные признаки ее отнесения к какой-либо категории, например, к секретной или конфиденциальной. При выявлении соответствующих признаков обрабатываемой информации автоматически задаются формализованные требования к ее защите. Например, для обработки секретных данных требования к защите информации в автоматизированной системе задаются классом защищенности не ниже 1В, а для обработки конфиденциальных данных — не ниже 1Г.

2. Концепция обеспечения информационной безопасности техническими мерами защиты.

Концепция обеспечения информационной безопасности задает основные принципы обработки классифицированной информации и обеспечением ее технической защиты. В общем случае эта концепция должна включать:

2.1. Порядок обработки защищаемой информации - определяется, какая информация обрабатывается вручную, какая с использованием средств вычислительной техники (СВТ), в автоматизированном режиме или нет, какая информация предназначена для внутреннего использования, какая предполагает обмен вне организации и т.д.

2.2. Технический признак СВТ организации, применяемых для обработки информации, требующей защиты. Сюда относятся архитектурные принципы построения корпоративной сети, используемые информационные технологии, ОС, приложения и т.д.

2.3. Признак предполагаемого использования СВТ организации для обработки защищаемой информации, т.е. где хранится, где и как обрабатывается, каким образом вводится и выводится, как передается по сети и т.д. Данный признак позволяет выявить объекты корпоративной сети (компьютеры, информационные потоки и т.д.), требующие защиты. Результатом этого будут сформулированные требования к распределению ресурсов защищаемых объектов (компьютеров) между субъектами доступа, разграничительная политика доступа к ресурсам.

2.4. Признак распределения всей совокупности задач управления функционированием корпоративной сети (в том числе, защищаемыми объектами), каким-либо образом влияющих на безопасность защищаемой информации:

• задачи защиты информации;

• задачи системного и иного администрирования;

• задачи инсталляции ПО;

• задачи обработки информации и т.д.

Должно быть задано распределение задач между всеми субъектами доступа к защищаемой информации: сотрудники службы защиты информации, администраторы (безопасности, системный, приложений, в частности СУБД, сети и т.д.), пользователи (возможно с предоставлением каких-либо привилегий отдельным группам пользователей), сотрудники службы эксплуатации, начальники подразделений и т.д.

В рамках решения данной совокупности задач определяется потенциальный злоумышленник, то есть, от кого же следует защищать информацию. Данные субъекты должны исключаться из схемы управления функционированием корпоративной сети, прежде всего, из схемы управления информационной безопасностью.

Результатом должна быть разработка концепции администрирования информационной безопасности корпоративной сети организации. При этом должны быть определены субъекты (сотрудники службы защиты информации, администратор безопасности и т.д.) и объекты (рабочие станции, серверы, информационные технологии и т.д.) администрирования. Для объектов, где обрабатывается защищаемая информация, должны учитываться соответствующие формализованные требования, в соответствии с документами ФСТЭК (ГТК) и ФСБ (ФАПСИ).

Внедрение централизованной схемы администрирования, которая состоит в следующем: сотрудники службы защиты информации по представлению начальников подразделений формируют разграничительную политику доступа к ресурсам, а администратор безопасности осуществляет непосредственное управление системой защиты, т.е. реализует разграничительную политику доступа техническими средствами защиты информации и контролирует ее выполнение пользователями.

Остальные субъекты исключаются из схемы администрирования. Им либо вообще не дается доступ к настройкам технических средств защиты в принципе, либо он возможен только при непосредственном контроле со стороны администратора безопасности (данные задачи должны решаться техническими средствами защиты).

2.5. Требования к технологии защиты информации:

• к механизмам защиты в части реализации заданной разграничительной политики доступа к ресурсам;

к механизмам защиты в части противодействия НСД определенных потенциальных злоумышленников. Данные требования должны выдвигаться с учетом существующей статистики и потенциальных возможностей осуществления угроз, создаваемых определенными потенциальными злоумышленниками;

• требования к механизмам, реализующим выбранную схему управления (администрирования) техническими средствами защиты информации.

Необходимо отметить, что если защищаемая информация подпадает под формальные признаки, то при разработке требований к технологии защиты информации должны быть учтены соответствующие формализованные требования к механизмам защиты (в частности, для защиты от НСД, регламентируемые документами [4, 5, 6, 7]).

2.6. Взаимодействие субъектов с целью формирования, задания и контроля разграничительной политики доступа к ресурсам.

При этом определяется:

• порядок назначения и изменения прав доступа субъекта к ресурсу;

• порядок их задания в конфигурационных файлах средств технической защиты;

• порядок контроля за выполнением субъектами заданных разграничений и порядок принятия решений при обнаружении фактов НСД;

• порядок проведения регламентных работ, инсталляции ПО и т.д.

2.7. Инструкции всех субъектов доступа к защищаемой информации, где должны быть определены их права, обязанности, ответственность за нарушение разграничительной политики доступа.

Данные инструкции должны быть доведены (за подписью) до каждого субъекта доступа к защищаемой информации, т.к. невозможно обеспечить защиту, не формализовав их возможные действия и ответственность за НСД к информации.

3. Защита от НСД

Должны быть регламентированы все организационные мероприятия, реализуемые с целью защиты информации:

- порядок контроля доступа в помещения;

- порядок работы с внешними носителями (выдача пользователям, хранение, утилизация) и др.

Организационные меры должны рассматриваться в совокупности с возможностями (требованиями) средств технической защиты и соответствующим образом их дополнять.

Политика информационной безопасности — это та основа, без которой невозможно приступать ни к выбору, ни к проектированию средств защиты информации, в том числе добавочных.

Невозможно в общем случае сказать, какое средство защиты лучше (при прочих равных условиях таких как: надежность функционирования, производительность и т.д.). Следует лишь говорить, какое средство в большей мере удовлетворяет требованиям, формализуемым политикой информационной безопасности.

К примеру, если политикой регламентируется схема централизованного администрирования механизмов защиты (в качестве потенциального злоумышленника рассматривается пользователь), то в этом случае не подходят средства защиты, встроенные в современные универсальные ОС, а также ряд средств добавочной защиты, использующих встроенные в ОС механизмы (в частности, механизм управления доступом).

Следовательно, прежде всего, следует разработать политику информационной безопасности, а уже с ее использованием приступать к разработке, либо к выбору из представленных на рынке технических средств защиты информации.

Однако здесь существует противоречие, состоящее в следующем: с одной стороны, политика информационной безопасности выставляет требования к системе защиты, с другой стороны, может она быть реализована только на основе тех возможностей (механизмов защиты), которые реализуются системой защиты. То есть именно система защиты является центральным звеном, определяющим возможности защиты информации в организации.

При разработке политики информационной безопасности организации возможны следующие пути решения:

1. осуществление доработки выбранного средства защиты в части выполнения ими сформулированных требований;

2. выполнение (по возможности) данных требований организационными мерами. Здесь главное — не свести все к абсурду, например, если рассматривать для ОС Windows NT/2000/XP в качестве потенциального злоумышленника пользователя, то с учетом того, что пользователь может запустить любую программу с внешнего устройства ввода, т.е. получает инструментарий преодоления системы зашиты, в качестве организационных мероприятий может быть предусмотрено использование компьютеров без внешних устройств ввода);

3. пересмотр политики информационной безопасности (если это возможно) с учетом возможностей выбранного средства защиты информации.

Сделано это должно быть таким образом, чтобы не выполняемые системой защиты требования не выдвигались в качестве основных требований к обеспечению информационной безопасности (однако это не должно привести к ослаблению защиты информации).

При разработке политики информационной безопасности организации возникает резонный вопрос: а может ли случиться так, что разработанный в организации профиль защиты принципиально не достижим, либо, наоборот, реализуется с большой избыточностью (это тоже плохо, т.к. в данном случае необоснованно снижается производительность, повышается цена системы защиты и т.д.)?

Гипотетически подобное возможно. Это обусловлено тем, что встроенные в современные универсальные ОС механизмы защиты еще весьма далеки от совершенства, а добавочные средства защиты на отечественном рынке еще не столь широко представлены, чтобы обеспечить всевозможные профили защиты, потребность в которых может возникнуть на практике.

Вместе с тем отметим, что если в полном объеме политику информационной безопасности обеспечить техническими средствами защиты не удается, должны быть выделены «слабые» места защиты и выработаны соответствующие организационные мероприятия по возможной локализации потенциально опасных для системы защиты угроз.

Система защиты информации от несанкционированного доступа является ключевым звеном политики информационной безопасности, которая в своей основе базируется именно на механизмах технической защиты информации. Обоснованный выбор средства защиты для установки в корпоративной сети организации может быть осуществлен только на основе анализа при совпадении требуемого профиля защиты и профиля защиты, реализуемого системой зашиты, в частности добавочной.

Поэтому выбор системы защиты, равно как и разработка политики информационной безопасности, в общем случае является взаимосвязанной итерационной процедурой.

Мероприятия по обеспечению безопасности информации при их обработке в информационных системах включают в себя:

определение угроз безопасности информации при их обработке, формирование на их основе модели угроз;

разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем;

проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

учет лиц, допущенных к работе с защищаемой информацией в автоматизированной информационной системе;

контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

разбирательство и составление заключений по фактам несоблюдения условий хранения носителей с защищаемой информацией, использования средств защиты информации, которые могут привести к нарушению конфиденциальности защищаемой информации или другим нарушениям, приводящим к снижению уровня защищенности

информации, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

описание системы защиты информации.