Как самому написать концепцию информационной безопасности

1. Введение.
Часто приходится слышать: как написать концепцию ИБ, что должно в ней быть, кто может поделиться и т.п. Так как концепция информационной безопасности (далее концепция) это документ, который имеет определенную степень секретности, то мало кто с вами ей поделится. Цель данного документа - задать вектор движения в написании основополагающего документа в системе информационной безопасности (далее ИБ) организации.
Так что же представляет собой эта концепция?
Во-первых, это нормативный документ, на основании которого строится ИБ организации.
Во-вторых, это ваше видение данной проблематики на конкретном предприятии или организации.
В-третьих, этот документ опирается на нормативную базу Российского законодательства, моральные нормы, научно-технические принципы и организационные возможности.

Многие требования "Оранжевой и Красной книги" уже устарели, в них не уделяется должного внимания некоторым важным в настоящее время аспектам защиты систем и объясняется это тем, что соответствующие атаки на защищенные системы были изобретены уже после их написания. Дело даже не столько в том, что стандарты по информационной безопасности уже во многом устарели, а в том, что невозможно построить эффективную и надежную защиту вычислительных систем, основываясь только на руководящих документах, ведь злоумышленника не интересует, каким стандартам удовлетворяют ваши системы защиты компьютера или сети, для него важно только то, сможет ли он обойти эту защиту или нет. А защитить автоматическую систему (далее АС) организации от несанкционированного доступа или добиться соответствия конфигурации системы некоторому стандарту - это совсем разные вещи. Очевидно, что к защите разных вычислительных систем предъявляются разные требования. Защитить систему электронного документооборота - это совсем не то же самое, что защитить Web или Mail-сервер. Но большинство стандартов описанных в "Красной книге", или в документах ГосТехКомиссии РФ, никак не учитывают особенности конкретных систем. Кроме того, ни один документ не может охватить все ситуации, которые могут возникнуть в процессе функционирования компьютерной системы.
Практика функционирования автоматизированных информационных систем показывает, что достижение 100 %-го уровня безопасности - дело дорогое и не всегда целесообразное, так как:
- даже самая совершенная на сегодня система информационной защиты не может противодействовать угрозам, которые могут возникнуть в последующем;
- стоимость комплексной защиты может оказаться значительно выше, чем стоимость защищаемых информационных ресурсов.
Однако математическое моделирование позволит обеспечить эффективность и гарантировать функциональность систем защиты.

И так с чего необходимо начать?
1) анализ существующей организационно-распорядительной документации и неформальных требований, отражающих текущую или желаемую политику безопасности;
2) определение целей и задач системы информационной безопасности;
3) разработка моделей угроз информационной безопасности и моделей нарушителя;
4) определение нормативно-технической базы информационной безопасности;
5) разработка основных положений системы управления информационной безопасностью;
6) определение требований к комплексу мер и средств обеспечения информационной безопасности;

1.2 Подготовительный этап.
На данном этапе Вам необходимо составить как можно более подробную карту информационной системы организации, т.е. описать, где и какое находится сетевое оборудование, какая ПЭВМ к какому порту подключена, и какие функции на ней выполняются, определить круг лиц, которым можно работать за конкретными ПЭВМ и их функциональные обязанности. Описать маршрут движения и права доступа к электронным документам. Проанализировать полученную информацию и разработать математические алгоритмы обеспечения информационной безопасности организации, соответствующие основополагающим целям защиты информационных ресурсов: доступность, целостность, секретность. Анализ состояния системы должен базироваться на четких математических алгоритмах, основанных на анализе матричных графов. Матричная форма представления позволяет обработать сложные динамические системы, чем и является система ИБ. В ходе анализа можно установить: какая угроза существует и ее тип, объект угрозы, от кого может исходить и каким методом можно устранить. При этом у нас появляется динамическая модель взаимосвязей объектов в системе с управлением доступа на основе атрибутов. Так же теорию графов применяем для анализа и преобразования потоков информации, изменение состояния системы контролируется матрицами полномочий, что в свою очередь не приводит к возникновению ограничений на применение данной модели.

1.3 Примерная математическая модель.
Примечание: В данном разделе описана логика математической модели без приведения конкретных формул и носящая информативный характер.

Большую помощь в построении эффективной СИБ могут оказать методы математического моделирования. Во-первых, именно с их помощью можно наглядно доказать менеджерам, что вложение средств в СИБ действительно экономит деньги компании (недооценка необходимости СИБ менеджерами является в большинстве случаев основным препятствием в ее развитии). Во-вторых, в условиях ограниченности ресурсов, отпущенных на СИБ, с помощью этих методов можно выбрать оптимальный комплекс средств защиты, а также смоделировать, насколько созданная СИБ окажется эффективной в борьбе против наиболее распространенных угроз. В рамках данного документа мы рассмотрим моделирование несанкционированного доступа (НСД).
Прямого влияния на рост доходов система информационной безопасности не имеет, поэтому, как правило, не следует ожидать увеличения выручки компании после инвестиций в СИБ. Однако нельзя доходы от инвестиций в СИБ сразу приравнять к нулю, так как существует ряд стандартных информационных систем, в которых именно грамотно построенная система защиты информации сказывается на росте доходов компании. Например, согласно исследованиям компании PriceWaterhouseCoopers, именно недостаточно обеспеченная безопасность электронных платежей стала основным барьером для пользователей, т.е. создание надежной СИБ в таких системах обусловливает доверие клиентов, а значит, и приток денег.
Внедрение системы информационной безопасности, как правило, приводит к более продуктивному использованию рабочего времени сотрудниками. Это связано, например, с ограничением доступа к информации, не требующейся для работы, в результате исключается доступ к развлекательным сайтам, а также уменьшается объем неслужебной переписки.
При построении СИБ обойтись без расходов невозможно, так как всегда присутствуют операционные затраты: это и разработка проекта, и обучение, и создание средств защиты информации. Но есть составляющие, которые могут это компенсировать и даже привести к снижению расходов после реализации проекта.
Главное направление уменьшения расходов, т.е. то, ради чего система информационной безопасности строится или модернизируется - увеличение рискозащищенности.
Для эффективного функционирования системы информационной безопасности предприятия её необходимо оснастить комплексом аппаратных и программных средств защиты от различных информационных угроз таким образом, чтобы улучшить некоторый критерий оптимальности создания СИБ. При этом считается, что информационные угрозы между собой не связаны.
Предположим что задано множество информационных угроз (ИУ), которые могут возникнуть в автоматизированной информационной системе (АИС) предприятия, и множество аппаратных и программных средств защиты (СЗ), с помощью которых эти угрозы могут быть нейтрализованы. Причем для каждого сочетания ИУ-СЗ определено число r(ij) - эффективность нейтрализации i-м средством защиты j-й информационной угрозы. Для построения математической модели введем переменную y(i,j), равную 1, если j-я ИУ нейтрализуется с помощью i-го СЗ, и равную нулю в противном случае.
Дадим содержательную и формальную постановку задач выбора оптимальной СИБ в терминах теории графов, а также представим методы их решения. Для этого необходимо построить такой двудольный граф, что вершины множества в Х1 отвечают аппаратным и программным средствам защиты, а вершины множеств в Х2 - соответствующим информационным угрозам. Каждый элемент (вершина) множества Х1 характеризуется ценой и эффективностью по нейтрализации информационных угроз.
Каждой вершине множества присваивается вес, равный стоимости, что соответствует СЗ, а каждой дуге - вес, z(i,j) = 1,0. Тогда задача выбора оптимальной СИБ будет заключаться в максимальной эффективности нейтрализации множества информационных угроз различными средствами защиты при ограничениях на объем затрат Q.
Так же необходимо минимизировать затраты на средства защиты от информационных угроз в АИС предприятия при ограничении на заданный уровень эффективности Р.
В данной модели предполагается, что наивысший уровень эффективности СИБ будет тогда, когда для нейтрализации каждой угрозы будет выбрано средство защиты с максимальной эффективностью. Наивысший уровень эффективности СИБ равен сумме максимальных элементов в каждом столбце матрицы.
Следует учитывать, что выбор оптимального набора классических средств защиты информации в условиях ограничения на объем ресурсов не гарантирует того, что система действительно окажется эффективной при противодействии информационным рискам. При этом следует учитывать, что практическое применение механизма, а значит и создание эффективной СИБ становится возможным лишь в том случае, когда вероятность наступления рисков причинения вреда АИС организации является достаточно малой величиной.
Рассмотрим модель, позволяющую определить вероятность причинения вреда автоматизированной информационной системы компании при НСД.
Защита от НСД строится на практике как последовательность преград, после успешного преодоления которых злоумышленник получает доступ к информационным и/или программным ресурсам АИС.
Нарушитель в состоянии проникнуть в систему лишь при условиях, когда:
во-первых, ему станет известна (в том числе случайным образом) система защиты в части, необходимой для достижения его целей;
во-вторых, он успеет получить доступ к информационным и/или программным ресурсам системы до того, как эта система защиты видоизменится (после чего перед нарушителем возникнет проблема повторного преодоления защитных преград).

При условии существования стационарных распределений времени между соседними изменениями параметров системы защиты и времени вскрытия системы защиты вероятность преодоления преграды существует.
Исходя из этого предположения можем рассчитать вероятность преодоления всей системы защиты, то есть преодоление всей последовательности преград механизмов защиты.
Возможных вариантов для функции распределения времени между соседними изменениями параметров системы защиты преграды может быть несколько:
Вариант 1. Параметры системы защиты изменяются через постоянный интервал времени, т.е. функция распределения является детерминированной.
Вариант 2. Интервалы времени между соседними изменениями параметров определяются случайным образом, например, с помощью генератора псевдослучайной последовательности. Также необходимо учитывать как трудоемкость операций, так и уровень подготовленности и технической оснащенности злоумышленника. Вероятность преодоления всей системы защиты информации определяется следующими комбинациями времени преодоления преграды системы защиты и характером изменения ее параметров:
- параметры системы защиты меняются через постоянные промежутки времени, а время преодоления преграды является постоянным;
- смена параметров системы осуществляется через равные промежутки времени, а время преодоления преграды неизвестно;
- время между соседними изменениями параметров определяется случайным образом, а время преодоления преграды является постоянным;
- время между соседними изменениями параметров определяется случайным образом, время преодоления преграды неизвестно.

Создание надежной системы информационной безопасности компании возможно, но только в случае активного соединения классических (программных и технических) и экономических методов защиты информации. Эффективное же задействование экономических механизмов, позволяющих сгладить убытки компании, связанные с причинением ущерба АИС, возможно только в случае наличия СИБ, гарантирующей с большой вероятностью сохранность информации. Именно в создании наиболее эффективной относительно противодействия информационным рискам СИБ в условиях ограничений на выделяемые ресурсы, а также при определении вероятности причинения ущерба АИС основными информационными угрозами (задействование механизма страхования) существенную помощь может оказать приведенный выше комплекс моделей.

После сбора информации и последующего анализа, описания АИС и последующего построения ее математической модели приступим непосредственно к написанию концепции ИБ организации. В самом начале мы пишем краткое изложение сути всей концепции (примерно на 1-2 страницы).

2. Примерное ВВЕДЕНИЕ концепции.
Беспрецедентные темпы развития и распространения информационных технологий, обострение конкурентной борьбы требуют создания целостной системы безопасности информации, взаимоувязывающей правовые, оперативные, технологические, организационные, технические и физические меры защиты информации, основываясь на научно-технических принципах построения систем обеспечения безопасности информационных ресурсов корпоративных сетей с учетом современных тенденций развития сетевых информационных технологий, а так же с использованием исследований по защите от внутренних нарушителей.
Настоящая Концепция определяет систему взглядов на проблему обеспечения безопасности информации в единой информационной телекоммуникационной системе (далее автоматизированной системе - АС) организации и представляет собой систематизированное изложение целей и задач защиты, а также принципов и способов достижения требуемого уровня безопасности информации.
Построение системы безопасности информационных ресурсов корпоративной сети основывается на комплексном подходе, доказавшем свою эффективность и надежность. Комплексный подход ориентирован на создание защищенной среды обработки информации в корпоративной системе, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально-этические, организационные, программные и технические способы обеспечения информационной безопасности. Однако только математическое моделирование корпоративной сети позволяет обеспечить эффективность и гарантированность функционирования систем защиты. Принцип построения системы безопасности информационных ресурсов корпоративной сети должен быть основан на научных предпосылках, научно-обоснованной математической модели, раскрывающей внутренние принципы функционирования организации. На основе математического моделирования можно будет построить обоснованную, с гарантиями по безопасности концепцию информационной безопасности организации.
Правовой базой для разработки настоящей концепции служат требования действующих в России законодательных и нормативных документов, перечень которых вы должны указать в приложении.
Концепция является методологической основой для формирования и проведения в организации единой политики в области обеспечения безопасности информации (политики безопасности), для принятия управленческих решений и разработки практических мер по ее воплощению.
Список основных использованных в написании концепции сокращений также указывается в приложении. Перечень использованных специальных терминов и определений необходимо указать в приложении.

После введения идет раздел с описанием общих положений.
3. Общие положения.
В данном разделе концепции рассматривается название и правовая основа данного документа, т.е. мы даем понятие, что подразумевается под словом концепция в данном документе, ее систему взглядов на проблему безопасности.
Пример:
'Настоящая 'Концепция обеспечения безопасности информации в автоматизированной системе НАЗВАНИЕ ОРГАНИЗАЦИИ' (далее - Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в АС организации и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АС организации'.

Далее указывается, какие нормативные документы легли в основу концепции, к примеру, вот такой текст:
'Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), а также нормативно-методические материалы и организационно-распорядительные документы организации, отражающие вопросы обеспечения информационной безопасности автоматизированной системы'.
Также нельзя не упомянуть о том, что в концепции должно быть учтено современное состояние, а также ближайшие перспективы развития автоматизированной информационной системы. Также описывается, на какие объекты информационной системы она распространяется и для чего будет являться методологической основой. Ну и в завершение данного раздела упомянем, какие принципы были положены в основу построения системы информационной безопасности.

4. Объекты защиты.
В данном разделе концепции пойдет речь об основных объектах, на которые направлена информационная безопасность в данной организации. Для большего понимания того, о чем все-таки идет речь, приведем отрывок из данного раздела:
'Основными объектами информационной безопасности в ОРГАНИЗАЦИИ являются:
- информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления;
- процессы обработки информации в АС - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал;
- информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты АС'.
Также в данном разделе выделяем несколько подразделов:
a) назначение, цели создания и эксплуатация АС как объекта информатизации;
b) структура, состав и размещение основных элементов АС, информационные связи с другими объектами;
c) категории информационных ресурсов, подлежащих защите;
d) категории пользователей АС, режимы использования и уровни доступа к информации;
e) уязвимость основных компонентов АС.

Давайте сейчас выясним о чем нужно писать в данных подразделах:
I. Назначение, цели создания и эксплуатация АС как объекта информатизации.
В данном подразделе концепции мы опишем основные цели, т.е. собственно для чего мы хотим применить автоматизированную информационную систему. В основном АС создаются для повышения качества того или иного процесса, контроля, оперативности, анализа и прогноза, что в свою очередь должно привести к сокращению издержек и экономической выгоде для предприятия.
II. Структура, состав и размещение основных элементов АИС, информационные связи с другими объектами.
В данном подразделе опишем особенности функционирования АИС: какие взаимосвязи прослеживаются между различными объектами АИС, какие технические средства используются, есть ли взаимодействие с внешними организациями и как это происходит, т.е. какие каналы передачи данных используем, какое ПО для этого необходимо.
III. Категории информационных ресурсов, подлежащих защите.
Описываем, какие уровни конфиденциальности имеются, какие типы документов циркулируют в документообороте АИС, какая информация подлежит защите и на основании каких нормативных документов (в основном это Федеральный закон 'Об информации, информатизации и защите информации' от 20 февраля 1995 г. ? 24-ФЗ.').
IV. Категории пользователей АС, режимы использования и уровни доступа к информации.
Здесь описываем группы пользователей и какие функции они выполняют в АИС, к примеру: администраторы серверов (файловых серверов, серверов приложений, серверов баз данных) и ЛВС; администраторы информационной безопасности.
V. Уязвимость основных компонентов АС.
Тут мы укажем, какие объекты в АИС наиболее уязвимы, что необходимо защищать и для каких целей могут нарушители использовать тот или иной объект автоматизированной информационной системы.

5. Цели и задачи.
В данном подразделе у нас будет примерно 4 подпункта.
I. Интересы затрагиваемых при эксплуатации АС субъектов информационных отношений.
"Субъектами правоотношений при использовании АИС организации и обеспечении безопасности информации являются ..." - и перечисляем: организация как собственник информационных ресурсов, подразделения и отделы, должностные лица и сотрудники, юридические и физические лица, другие.
Описать, в чем заинтересованы выше перечисленные субъекты относительно циркулирующей информации в рамках АИС организации: конфиденциальность, достоверность, своевременный доступ, разграничение ответственности, контроль.
II. Цели защиты.
Основной целью, на достижение которой направлены все положения настоящей концепции, является защита субъектов информационных отношений (интересы которых затрагиваются при создании и функционировании АИС) от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АИС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.
Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки: доступность, сохранность, целостность, аутентичность.
III. Основные задачи системы обеспечения безопасности информации.
Распишем, какие задачи должна решать АС для достижения основной цели защиты. Вот примерный список задач: защита от вмешательства в процесс функционирования АС; разграничение прав доступа к информации, ПЭВМ, средствам защиты; регистрацию происходящий событий в АИС, процедуры обеспечения целостности и достоверности информации, а так же методы ее восстановления; защита от несанкционированных действий; авторизация и аутентификация пользователей; мониторинг возможных угроз и информационной защищенности; действия для минимизации и локализации ущерба от неправомерных действий.
IV. Основные пути достижения целей защиты (решения задач системы защиты).
Здесь опишем, как мы будем достигать поставленные цели защиты и перечисленных выше задач. Для примера можно привести некоторые пункты из данного подраздела.
'Строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, автоматизированных рабочих мест - АРМ);
полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов организации по вопросам обеспечения безопасности информации;
персональной ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АC;
реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;
принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС;
применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
юридической защитой интересов организации при взаимодействии ее подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц;
проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС'.
Думаю, что приведенный пример достаточно полно раскрывает, о чем необходимо писать в данном подразделе концепции.

6. Основные угрозы.
Достаточно объемный по своему содержанию раздел, в котором описывается модель возможного нарушителя, рассматриваются различные возможности утечки информации по техническим каналам, дается определение умышленным действиям различными лицами, какие пути могут быть для реализации неправомерных действий и какие вообще могут быть угрозы безопасности информации и ее источники. Вот об этом сейчас более подробно и поговорим.
А начнем с видов угроз информационной безопасности и их источниках.
Для начала опишем наиболее значимые угрозы и методы их реализации. К наиболее опасным отнесем: нарушение конфиденциальности (разглашение, утечка); нарушение работоспособности (дезорганизация работы); нарушение целостности (искажение, подмена, уничтожение).
Далее опишем основные источники угроз:
непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей);
преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.);
воздействия из других логических и физических сегментов АС со стороны сотрудников других подразделений;
ошибки, допущенные при проектировании АС;
аварии, стихийные бедствия и т.п.

Во втором пункте данного раздела опишем основные пути реализации непреднамеренных искусственных (субъективных) угроз АС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба.
В третьем пункте также опишем основные пути реализации, только уже преднамеренных действий (с корыстными целями, по принуждению, из желания отомстить и т.п.).
В четвертом пункте опишем возможности утечки информации по техническим каналам, т.е. в данном разделе мы указываем возможные угрозы при проведении мероприятий и эксплуатации технических средств, когда возможны утечки или нарушения целостности информации, нарушения работоспособности технических средств:
побочные электромагнитные излучения информативного сигнала от технических средств;
наводки информативного сигнала;
изменения тока потребления;
радиоизлучение;
электрические сигналы или радиоизлучения, обусловленные воздействием на АС высокочастотных сигналов, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.), и модуляцией их информативным сигналом (облучение, 'навязывание');
радиоизлучения или электрические сигналы от внедренных специальных электронных устройств перехвата информации;
акустическое излучение информативного речевого сигнала;
просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации;
Кроме перехвата информации техническими средствами, возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Такого рода утечка информации возможна вследствие:
непреднамеренного прослушивания без использования технических средств разговоров, ведущихся в выделенном помещении, из-за недостаточной звукоизоляции его ограждающих конструкций, систем вентиляции и кондиционирования воздуха;
случайного прослушивания телефонных переговоров при проведении профилактических работ на АТС, кроссах, кабельных коммуникациях с помощью контрольной аппаратуры;
просмотра информации с экранов дисплеев и других средств ее отображения.

Пятым пунктом опишем неформальную модель нарушителя, дадим определение кто такой нарушитель, неопытный пользователь, любитель (т.е. человек пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из 'спортивного интереса'), мошенник, внешний нарушитель, внутренний злоумышленник, также укажем перечни тех лиц, которых можно отнести к внутренним нарушителям и тех лиц, которых можно/нужно рассматривать как внешних нарушителей.
Далее укажем какой ущерб могут нанести те или иные группы лиц и чем для этого воспользоваться, к примеру: уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа; пользователи и обслуживающий персонал из числа сотрудников организации имеют наиболее широкие возможности по осуществлению несанкционированных действий вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер, при этом действия этой группы лиц напрямую связано с нарушением действующих правил и инструкций.

7. Основные положения технической политики в обеспечении безопасности информации.
Первым подразделом у нас будет техническая политика. Реализация технической политики по обеспечению информационной безопасности должна исходить из того, что нельзя обеспечить требуемый уровень безопасности только одним мероприятием или средством, а необходим комплексный подход с системным согласованием различных элементов, а каждый разработанный элемент рассматриваться как часть единой системы при оптимальном соотношении как технических средств, так и организационных мероприятий.

Далее, перечислим основные направления технической политики и как в рамках указанных направлений она будет осуществляться.
Для примера возьмем такое направление как защита информационных ресурсов от хищения, уничтожения, искажения.
Для реализации этого направления нам необходимо:
1) реализация разрешительной системы допуска пользователей к информации;
2) разграничение доступа пользователей к информационным ресурсам;
3) реализация системы сбора, обработки, объективное документирование событий;
4) регистрация действий пользователей и контроль за несанкционированным доступом и действиями пользователей;
5) надежное хранение традиционных и машинных носителей информации;
6) криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
7) необходимое резервирование технических средств и информационных ресурсов;
8) электрическая развязка цепей питания;
и т.п.
Также необходимо формирование режима безопасности информации, т.е. согласно выявленным угрозам режим защиты формируется как совокупность способов и мер защиты информации. Комплекс мер по формированию режима безопасности информации должен включать в себя: организационно-правовой режим (нормативные документы), организационно-технические мероприятия (аттестация рабочих мест), программно-технические мероприятия, комплекс мероприятий по контролю за функционированием АС и систем ее защиты, комплекс оперативный мероприятий по предотвращению несанкционированного доступа, а также комплекс действий по выявлению таких попыток. Так что же подразумевается под выше перечисленным комплексом мер?
Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации и разработку (введение в действие) необходимых организационно-распорядительных документов (положение о сохранности информации, перечень сведений составляющих служебную и коммерческую тайну, приказы и распоряжения по установлению режима безопасности информации, инструкции и функциональные обязанности сотрудников и другие нормативные документы).
Под техническими и программными мероприятиями понимается комплекс действий, направленный на физическую охрану объектов информации, на защиту информации ограниченного распространения от утечки по техническим каналам, выполнение режимных требований при работе с информацией ограниченного распространения и мероприятия технического контроля.

8. Принципы построения комплексной системы защиты.
Построение системы безопасности информации АС и ее функционирование должны осуществляться в соответствии со следующими принципами:
- законность: предполагает осуществление защитных мероприятий и разработку системы безопасности информации АС организации в соответствии с действующим законодательством;
- системность: системный подход к построению системы защиты информации предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации;
- комплексность: комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов, защита должна строиться эшелонированно;
- непрерывность защиты: непрерывный, целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС;
- своевременность: предполагает упреждающий характер мер для обеспечения безопасности информации;
- преемственность и совершенствование: предполагают постоянное совершенствование мер и средств защиты информации;
- разумная достаточность (экономическая целесообразность); предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба;
- персональная ответственность: предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий;
- принцип минимизации полномочий: означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью;
- взаимодействие и сотрудничество; предполагает создание благоприятной атмосферы в коллективах подразделений;
- гибкость системы защиты: для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью;
- открытость алгоритмов и механизмов защиты: суть данного принципа состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам), однако это не означает, что информация о конкретной системе защиты должна быть общедоступна;
- простота применения средств защиты: механизм защиты должны быть интуитивно понятен и прост в использовании, без значительных дополнительных трудозатрат;
- научная обоснованность и техническая реализуемость: информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации;
- специализация и профессионализм: предполагает привлечение к разработке средств и реализаций мер защиты информации специализированных организаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области, реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами;
- обязательность контроля: предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил безопасности.

Далее в этом разделе нам предстоит раскрыть выше перечисленные принципы.

9. Меры, методы и средства защиты.
Все меры обеспечения безопасности компьютерных систем подразделяются на: правовые (законодательные), морально-этические, организационные (административные), физические, технические (аппаратурные и программные).
"Организационные меры защиты" - в данном подразделе мы описываем процессы, регламентирующие функционирование системы, деятельность обслуживающего персонала, порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации. С практической точки зрения политику в области обеспечения безопасности информации в организации целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность организации в целом, а политика нижнего уровня определяет процедуры и правила достижения цели и решения задач безопасности информации и детализирует (регламентирует) эти правила.
Также нам предстоит описать регламенты: доступа в помещение, доступа сотрудников к ресурсам, ведения и модификации баз данных, процессов обслуживания и модернизации оборудования. Описать методы обеспечения и контроля целостности аппаратных ресурсов и программного обеспечения, дать рекомендации кадровой службе по подбору, подготовке и обучению персонала. Описать основные тезисы, на основе которых будет принято положение о подразделении технической защиты информации. Определить ответственность за нарушение установленного порядка эксплуатации АС и действия по расследованию нарушений. Также опишем какие физические, технические (аппаратно-программные) средства защиты будут использоваться, опишем разграничение доступа на территорию и в помещения, средства опознания (идентификация) и подтверждения подлинности (аутентификация) пользователя, средства разграничения доступа зарегистрированных пользователей к ресурсам АС и другие средства, обеспечивающие оперативность контроля и регистрации событий, криптографические средства защиты. И напоследок опишем как мы видим управление системой обеспечения информационной безопасности, ее главные цели и функции, а также не забудем о контроле эффективности системы защиты.

10. Первоочередные мероприятия.
"Для реализации основных положений настоящей Концепции целесообразно провести (осуществить) следующие мероприятия: ...."
Далее, как видно из названия раздела, мы описываем те первоочередные действия, которые предстоит исполнить в самое ближайшее время. Как правило, нам не обойтись без грамотного технического задания и создания подразделения технической защиты, далее опишем аппаратно-программный комплекс, который обеспечит информационную безопасность организации. К примеру, для защиты ЛВС от неправомерных действий из других ЛВС организации или внешних сетей установить сертифицированный межсетевой экран. Произвести развязку цепей электропитания объектов защиты с помощью защитных фильтров, контроль за состоянием защиты, выявление слабых мест (уязвимостей) в системе защиты серверов и рабочих станций и принятие своевременных мер по их устранению необходимо использовать специальные программы оценки защищенности и т.п.

11. Литература.
1. Герасименко В.А., Малюк А.А. Основы защиты информации. - М., 1997.
2. Лазарев И.А. Информация и безопасность. Композиционная технология информационного моделирования сложных объектов принятия решений. - М.: Московский городской центр научно-технической информации, 1997. - 336 с.
3. Лукацкий А.В. Обнаружение атак. - СПб.: БХВ-Петербург, 2001. - 624 с.
4. Биячуев Т.А. / под ред. Л.Г.Осовецкого Безопасность корпоративных сетей. - СПб: СПб ГУ ИТМО, 2004.- 161 с.

Рубрика: 
Ключевые слова: 
+1
0
-1