9

Лекція 15. Адміністративний рівень інформаційної безпеки

Основні поняття

До адміністративного рівня інформаційної безпеки відносяться дії загального характеру, що вживаються керівництвом організації.

Головна ціль мір адміністративного рівня - сформувати програму робіт в області інформаційної безпеки й забезпечити її виконання, виділяючи необхідні ресурси й контролюючи стан справ.

Основою програми є політика безпеки, що відбиває підхід організації до захисту своїх інформаційних активів. Керівництво кожної організації повинне усвідомити необхідність підтримки режиму безпеки й виділення на ці цілі значних ресурсів.

Політика безпеки будується на основі аналізу ризиків, які зізнаються реальними для інформаційної системи організації. Коли ризики проаналізовані й стратегія захисту визначена, складається програма забезпечення інформаційної безпеки. Під цю програму виділяються ресурси, призначаються відповідальні, визначається порядок контролю виконання програми й т.п.

Термін "політика безпеки" є не зовсім точним перекладом англійського словосполучення "security policy. Ми будемо мати на увазі не окремі правила або їхні набори, а стратегію організації в області інформаційної безпеки. Для виробітку стратегії й проведення її в життя потрібні, безсумнівно, політичні рішення, прийняті на найвищому рівні.

Під політикою безпеки ми будемо розуміти сукупність документованих рішень, прийнятих керівництвом організації й спрямованих на захист інформації й асоційованих з нею ресурсів.

ІС організації й пов'язані з нею інтереси суб'єктів - це складна система, для розгляду якої необхідно застосовувати об’єктно-орієнтований підхід і поняття рівня деталізації. Доцільно виділити, принаймні, три таких рівні.

Щоб розглядати ІС предметно, з використанням актуальних даних, варто скласти карту інформаційної системи. Ця карта, зрозуміло, повинна бути виготовлена в об’єктно-орієнтованому стилі, з можливістю варіювати не тільки рівень деталізації, але й видимі грані об'єктів. Технічним засобом складання, супроводу й візуалізації подібних карт може служити вільно розповсюджуваний каркас якої-небудь системи керування.

Політика безпеки

Із практичної точки зору політику безпеки доцільно розглядати на трьох рівнях деталізації. До верхнього рівня можна віднести рішення, що зачіпають організацію в цілому. Вони носять досить загальний характер і, як правило, виходять від керівництва організації. Зразковий список подібних рішень повинен містити в собі наступні елементи:

• рішення сформувати або переглянути комплексну програму забезпечення інформаційної безпеки, призначення відповідальних за просування програми;

• формулювання цілей, які переслідує організація в області інформаційної безпеки, визначення загальних напрямків у досягненні цих цілей;

• забезпечення бази для дотримання законів і правил;

• формулювання адміністративних рішень по тимі питанням реалізації програми безпеки, які повинні розглядатися на рівні організації в цілому.

Для політики верхнього рівня цілі організації в області інформаційної безпеки формулюються в термінах цілісності, доступності й конфіденційності. Якщо організація відповідає за підтримку критично важливих баз даних, на першому плані може стояти зменшення числа втрат, ушкоджень або перекручувань даних. Для організації, що займається продажем комп'ютерної техніки, імовірно, важлива актуальність інформації про надавані послуги й ціни і її доступність максимальному числу потенційних покупців. Керівництво режимного підприємства в першу чергу піклується про захист від несанкціонованого доступу, тобто про конфіденційність.

На верхній рівень виноситься керування захисними ресурсами й координація використання цих ресурсів, виділення спеціального персоналу для захисту критично важливих систем і взаємодія з іншими організаціями, що забезпечують або контролюють режим безпеки.

Політика верхнього рівня повинна чітко окреслювати сферу свого впливу. Можливо, це будуть всі комп'ютерні системи організації (або навіть більше, якщо політика регламентує деякі аспекти використання співробітниками своїх домашніх комп'ютерів). Можлива, однак, і така ситуація, коли в сферу впливу включаються лише найбільш важливі системи.

У політику повинні бути визначені обов'язки посадових осіб по виробітку програми безпеки й проведенню її в життя. У цьому змісті політика безпеки є основою підзвітності персоналу.

Політика верхнього рівня має справу із трьома аспектами законослухняності й виконавської дисципліни. По-перше, організація повинна дотримуватися існуючих законів. По-друге, варто контролювати дії осіб, відповідальних за розробку програми безпеки. Нарешті, необхідно забезпечити певний ступінь ретельності персоналу, а для цього потрібно виробити систему заохочень і покарань.

Загалом кажучи, на верхній рівень варто виносити мінімум питань. Подібне винесення доцільно, коли воно обіцяє значну економію засобів або коли інакше надійти просто неможливо.

Британський стандарт BS 7799:1995 рекомендує включати в документ, що характеризує політику безпеки організації, наступні розділи:

• вступний, підтверджуючий заклопотаність вищого керівництва проблемами інформаційної безпеки;

• організаційний, утримуючий опис підрозділів, комісій, груп і т.д., відповідальних за роботи в області інформаційної безпеки;

• класифікаційний, що описує наявні в організації матеріальні й інформаційні ресурси й необхідний рівень їхнього захисту;

• штатний, що характеризує міри безпеки, застосовувані до персоналу (опис посад з погляду інформаційної безпеки, організація навчання й перепідготовки персоналу, порядок реагування на порушення режиму безпеки й т.п.);

• розділ, що висвітлює питання фізичного захисту;

• керуючий розділ, що описує підхід до керування комп'ютерами й комп'ютерними мережами;

• розділ, що описує правила розмежування доступу до виробничої інформації;

• розділ, що характеризує порядок розробки й супроводу систем;

• розділ, що описує міри, спрямовані на забезпечення безперервної роботи організації;

• юридичний розділ, що підтверджує відповідність політики безпеки чинному законодавству.

До середнього рівня можна віднести питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних експлуатованих організацією систем. Приклади таких питань - відношення до передових (але, можливо, недостатньо перевірених) технологій, доступ в Internet (як сполучити волю доступу до інформації із захистом від зовнішніх погроз?), використання домашніх комп'ютерів, застосування користувачами неофіційного програмного забезпечення й т.д.

Політика середнього рівня повинна для кожного аспекту висвітлювати наступні теми:

• Опис аспекту. Наприклад, якщо розглянути застосування користувачами неофіційного програмного забезпечення, останнє можна визначити як ПЗ, що не було схвалено й/або закуплене на рівні організації.

• Область застосування. Варто визначити, де, коли, як, стосовно кого й чому застосовується дана політика безпеки.

• Позиція організації по даному аспекту. Продовжуючи приклад з неофіційним програмним забезпеченням, можна уявити собі позиції повної заборони, розробки процедури приймання подібного ПЗ й т.п. Позиція може бути сформульована й у набагато більше загальному виді, як набір цілей, які переслідує організація в даному аспекті. Взагалі стиль документів, що визначають політику безпеки (як і їхній перелік), у різних організаціях може сильно відрізнятися.

• Ролі й обов'язки. В "політичний" документ необхідно включити інформацію про посадові особи, відповідальні за реалізацію політики безпеки. Наприклад, якщо для використання неофіційного програмного забезпечення співробітникам потрібен дозвіл керівництва, повинне бути відомо, у кого і як його можна одержати. Якщо неофіційне програмне забезпечення використовувати не можна, варто знати, хто стежить за виконанням даного правила.

• Законослухняність. Політика повинна містити загальний опис заборонених дій і покарань за них.

• Точки контакту. Повинно бути відомо, куди варто звертатися за роз'ясненнями, допомогою й додатковою інформацією. Звичайно "точкою контакту" служать певні посадові особи, а не конкретна людина, що займає в цей момент даний пост.

Політика безпеки нижнього рівня відноситься до конкретних інформаційних сервісів. Вона містить у собі два аспекти - мети й правила їхнього досягнення, тому її часом важко відокремити від питань реалізації. На відміну від двох верхніх рівнів, розглянута політика повинна бути визначена більш докладно. Є багато речей, специфічних для окремих видів послуг, які не можна єдиним образом регламентувати в рамках всієї організації. У той же час, ці речі настільки важливі для забезпечення режиму безпеки, що стосовні до них рішення повинні прийматися на управлінському, а не технічному рівні. Приведемо кілька прикладів питань, на які варто дати відповідь у політику безпеки нижнього рівня:

• хто має право доступу до об'єктів, підтримуваним сервісом?

• при яких умовах можна читати й модифікувати дані?

• як організований віддалений доступ до сервісу?

При формулюванні цілей політики нижнього рівня можна виходити з міркувань цілісності, доступності й конфіденційності, але не можна на цьому зупинятися. Її цілі повинні бути більше конкретними. Наприклад, якщо мова йде про систему розрахунку заробітної плати, можна поставити ціль, щоб тільки співробітникам відділу кадрів і бухгалтерії дозволялося вводити й модифікувати інформацію. У більш загальному випадку цілі повинні зв'язувати між собою об'єкти сервісу й дії з ними.

Із цілей виводяться правила безпеки, що описують, хто, що й при яких умовах може робити. Чим докладніше правила, тим більш формально вони викладені, тим простіше підтримати їхнє виконання програмно-технічними засобами. З іншого боку, занадто тверді правила можуть заважати роботі користувачів, імовірно, їх прийдеться часто переглядати. Керівництву має бути знайти розумний компроміс, коли за прийнятну ціну буде забезпечений прийнятний рівень безпеки, а співробітники не виявляться надмірно зв'язані. Звичайно найбільше формально задаються права доступу до об'єктів через особливу важливість даного питання.