Сучасні методики розробки політик безпеки.

Більшість директорів служб автоматизації(CIO) і інформаційної безпеки(CISO) російських компаній напевно ставили питання: "Як розробити ефективну політику інформаційної безпеки для визначення перспектив розвитку компанії"?. Давайте спробуємо знайти відповідь на це актуальне питання. Темпи розвитку сучасних інформаційних технологій значно випереджають темпи розробки рекомендаційної і нормативно-правової бази керівних документів, що діють на території Росії. Тому вирішення питання про розробку ефективної політики інформаційної безпеки на сучасному підприємстві обов'язково пов'язане з проблемою вибору критеріїв і показників захищеності, а також ефективності корпоративної системи захисту інформації. Внаслідок цього, на додаток до вимог і рекомендацій стандартів, Конституції, законам і іншим керівним документам доводиться використати ряд міжнародних рекомендацій. У тому числі адаптувати до вітчизняних умов і застосовувати на практиці методики міжнародних стандартів, таких, як ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL і інші, а також використати методики управління інформаційними рисками в сукупності з оцінками економічної ефективності інвестицій в забезпечення захисту інформації підприємства. Сучасні методики управління рисками дозволяють вирішити ряд завдань перспективного стратегічного розвитку сучасного підприємства. По-перше, кількісно оцінити поточний рівень інформаційної безпеки підприємства, що зажадає виявлення ризиків на правовому, організаційно-управлінському, технологічному, а також технічному рівнях забезпечення захисту інформації. По-друге розробити політику безпеки і плани вдосконалення корпоративної системи захисту інформації для досягнення прийнятного рівня захищеності інформаційних активів компанії. Для цього необхідно:

- обгрунтувати і зробити розрахунок фінансових вкладень в забезпечення безпеки на основі технологій аналізу ризиків співвіднести витрати на забезпечення безпеки з потенційним збитком і вірогідністю його виникнення;

- виявити і провести першочергове блокування найбільш небезпечних уязвимостей до здійснення атак на уразливі ресурси;

- визначити функціональні стосунки і зони відповідальності при взаємодії підрозділів і осіб по забезпеченню інформаційної безпеки компанії, створити необхідний пакет організаційно-розпорядливої документації;

- розробити і погоджувати із службами організації, наглядовими органами проект впровадження необхідних комплексів захисту, що враховує сучасний рівень і тенденції розвитку інформаційних технологій;

- забезпечити підтримку впровадженого комплексу захисту відповідно до умов роботи організації, що змінюються, регулярних доопрацювань організаційно-розпорядливої документації, модифікації технологічних процесів і модернізації технічних засобів захисту. Рішення названих завдань відкриває нові широкі можливості перед посадовцями різного рівня.

Керівникам верхньої ланки це допоможе об'єктивно і незалежно оцінити поточною рівень інформаційної безпеки компанії, забезпечити формування єдиної стратегії безпеки, розрахувати, погоджувати і обгрунтувати необхідні витрати на захист компанії. На основі отриманої оцінки начальники відділів і служб зможуть виробити і обгрунтувати необхідні організаційні заходи(склад і структуру служби інформаційної безпеки, положення про комерційну таємницю, пакет посадових інструкцій і інструкції дії в нештатних ситуаціях). Менеджери середньої ланки зможуть обгрунтовано вибрати засоби захисту інформації, а також адаптувати і використати у своїй роботі кількісні показники оцінки інформаційної безпеки, методики оцінки і управління безпекою з прив'язкою до економічної ефективності компанії.

Практичні рекомендації по нейтралізації і локалізації виявлених уязвимостей системи, отримані в результаті аналітичних досліджень, допоможуть в роботі над проблемами інформаційної безпеки на різних рівнях і, що особливо важливо, визначити основні зони відповідальності, у тому числі матеріальною, за неналежне використання інформаційних активів компанії. При визначенні масштабів матеріальної відповідальності за збиток, заподіяний працедавцеві, у тому числі розголошуванням комерційної таємниці, слід керуватися соответсвующими положеннями Трудового кодексу.

Сучасні методики розробки політик безпеки. Цілями захисту інформації є: відвертання витоку, розкрадання, втрати, спотворення, підробки інформації; відвертання несанкціонованих дій зі знищення, модифікації, спотворення, копіювання, блокування інформації; відвертання інших форм незаконного втручання в інформаційні ресурси і інформаційні системи. Головна мета будь-якої системи інформаційної безпеки полягає в забезпеченні стійкого функціонування об'єкту: відвертанні загроз його безпеці, захисту законних інтересів власника інформації від протиправних посягань, у тому числі кримінально карних діянь в даній сфері стосунків, передбачених Кримінальним кодексом, забезпеченні нормальної виробничої діяльності усіх підрозділів об'єкту. Інше завдання зводиться до підвищення якості послуг, що надаються, і гарантій безпеки майнових прав і інтересів клієнтів. Для цього необхідно:

- віднести інформацію до категорії обмеженого доступу(службовій таємниці);

- прогнозувати і своєчасно виявляти загрози безпеки інформаційним ресурсам, причини і умови, сприяючі нанесенню фінансового, матеріального і морального збитку, порушенню його нормального функціонування і розвитку;

- створити умови функціонування з найменшою вірогідністю реалізації загроз безпеки інформаційним ресурсам і нанесення різних видів збитку; - створити механізм і умови оперативного реагування на загрози інформаційної безпеки і прояву негативних тенденцій у функціонуванні, ефективне припинення посягань на ресурси на основі правових, організаційних і технічних заходів і засобів забезпечення безпеки;

- створити умови для максимально можливого відшкодування і локалізації збитку, що наноситься неправомірними діями фізичних і юридичних осіб, і тим самим ослабити можливий негативний вплив наслідків порушення інформаційної безпеки.

При розробці політики безпеки можна використати наступну модель(мал. 1), грунтовану на адаптації Загальних Критеріїв(ISO 15408) і проведенні аналізу ризику(ISO 17799). Ця модель відповідає спеціальним нормативним документам по забезпеченню інформаційної безпеки, міжнародному стандарту ISO/IEC 15408 "Інформаційна технологія - методи захисту критерії оцінки інформаційної безпеки", стандарту ISO/IEC 15408 "Інформаційна технологія - методи захисту - критерії оцінки інформаційної безпеки", стандарту ISO/IEC 17799 "Управління інформаційною безпекою". Представлена модель - це сукупність об'єктивних зовнішніх і внутрішніх чинників і їх вплив на стан інформаційної безпеки на об'єкті і на збереження матеріальних або інформаційних ресурсів.

Розглядаються наступні об'єктивні чинники:

- загрози інформаційної безпеки, виникнення, що характеризуються вірогідністю, і вірогідністю реалізації;

- уразливості інформаційної системи або системи контрзаходів(системи інформаційної безпеки), загрози, що впливають на вірогідність реалізації;

- ризик - чинник, що відбиває можливий збиток організації в результаті реалізації загрози інформаційної безпеки:

- просочування інформації і її неправомірного використання(ризик зрештою відбиває вірогідні фінансові втрати - прямі або непрямі).

Для створення ефективної політики безпеки передбачається спочатку провести аналіз ризиків в області інформаційної безпеки. Потім визначити оптимальний рівень ризику для підприємства на основі заданого критерію. Політику безпеці і відповідну корпоративну систему захисту інформації належить побудувати так, щоб досягти заданого рівня ризику.

 

Пропонована методика розробки політики інформаційної безпеки сучасного підприємства дозволяє повністю проаналізувати і документально оформити вимоги, пов'язані із забезпеченням інформаційної безпеки, уникнути витрат на зайві заходи безпеки, можливі при суб'єктивній оцінці ризиків, надати допомогу в плануванні і здійсненні захисту на всіх стадіях життєвого циклу інформаційних систем, забезпечити проведення робіт в стислі терміни, представити обгрунтування для вибору заходів протидії, оцінити ефективність контрзаходів, порівняти різні варіанти контрзаходів.

В ході робіт мають бути встановлені межі дослідження. Для цього необхідно виділити ресурси інформаційної системи, для яких надалі будуть отримані оцінки ризиків. При цьому належить розділити дані ресурси і зовнішні елементи, з якими здійснюється взаємодія. Ресурсами можуть бути засоби обчислювальної техніки, програмне забезпечення, дані, а також інформаційні ресурси - окремі документи і окремі масиви документів, документи і масиви документів в інформаційних системах(бібліотеках, архівах, фондах, банках даних, інших інформаційних системах). Прикладами зовнішніх елементів є мережі зв'язку, зовнішні сервіси і тому подібне. При побудові моделі враховуватимуться взаємозв'язки між ресурсами. Наприклад, вихід з ладу якого-небудь устаткування може привести до втрати даних або виходу з ладу іншого критично важливого елементу системи. Подібні взаємозв'язки визначають основу побудови моделі організації з точки зору ІБ.

Ця модель, відповідно до пропонованої методики, будується таким чином: для виділених ресурсів визначається їх цінність, як з точки зору асоційованих з ними можливих фінансових втрат, так і з точки зору збитку репутації організації, дезорганізації її діяльності, нематеріального збитку від розголошування конфіденційної інформації і так далі. Потім описуються взаємозв'язки ресурсів, визначаються загрози безпеки і оцінюється вірогідність їх реалізації. На основі побудованої моделі можна обгрунтовано вибрати систему контрзаходів, що знижують риски до допустимих рівнів і мають найбільшу цінову ефективність. Частиною системи контрзаходів будуть рекомендації по проведенню регулярних перевірок ефективності системи захисту. Забезпечення підвищених вимог до ІБ припускає відповідні заходи на усіх етапах життєвого циклу інформаційних технологій. Планування цих заходів робиться після закінчення етапу аналізу ризиків і вибору контрзаходів. Обов'язковою складовою частиною цих планів є періодична перевірка відповідності існуючого режиму ИБ політиці безпеки, сертифікація інформаційної системи(технології) на відповідність вимогам певного стандарту безпеки. Після закінчення робіт, можна буде Після закінчення робіт, можна буде визначити міру гарантії безпеки інформаційного середовища, грунтовану на оцінці, з якою можна довіряти інформаційному середовищу об'єкту. Цей підхід припускає, що велика гарантія виходить із застосування великих зусиль при проведенні оцінки безпеки. Адекватність оцінки грунтована на залученні до процесу оцінки більшого числа елементів інформаційного середовища об'єкту, глибині, що досягається за рахунок використання при проектуванні системи забезпечення безпеки більшого числа проектів і описів деталей виконання, суворості, яка полягає в застосуванні більшого числа інструментів пошуку і методів, спрямованих на виявлення менш очевидних уязвимостей або на зменшення вірогідності їх наявності.

Висновок. Важливо пам'ятати, що перш ніж впроваджувати які-небудь рішення по захисту інформації необхідно розробити політику безпеки, адекватну цілям і завданням сучасного підприємства. Зокрема, політика безпеки повинна описувати порядок надання і використання прав доступу користувачів, а також вимоги звітності користувачів за свої дії в питаннях безпеки. Система інформаційної безпеки(СИБ) виявиться ефективною, якщо вона надійно підтримуватиме виконання правил політики безпеки, і навпаки. Етапи побудови політики безпеки - це внесення в опис об'єкту автоматизації структури цінності і проведення аналізу ризику, і визначення правил для будь-якого процесу користування цим видом доступу до ресурсів об'єкту автоматизації, що мають цю міру цінності. При цьому політику безпеки бажано оформити у вигляді окремого документу і ствердити керівництвом підприємства.