Сегодня вряд ли удастся найти организацию, в которой никто и никогда не задумывался бы о защите информации. Вместе с тем не всегда можно встретить правильное понимание информационной безопасности как комплекса организационных и технических мероприятий. Важнейшим элементом ее обеспечения является человек, и он же - основной фактор ее нарушения.
Информационная безопасность должна восприниматься как комплекс организационно-технических мер, поскольку обеспечить конфиденциальность, целостность и доступность нельзя ни отдельно взятыми техническими мерами, ни только организационными.
Скажем, вы решили обеспечивать защиту только техническими мерами, при этом организационные документы у вас полностью отсутствуют. Так часто бывает, если защитой занимается отдел ИТ, или если начальник отдела информационной безопасности (ИБ) - бывший представитель ИТ-структур. Что в этом случае произойдет? Предположим, что один из сотрудников компании систематически передает конфиденциальную информацию по электронной почте конкурентам. Вы обнаружили утечку, но документов у вас нет, следовательно, наказать сотрудника (например, уволить его) вы просто не имеете права. А если вы это сделаете, умный злоумышленник подаст на вас в суд за нарушение его конституционных прав на личную переписку. Самое печальное в том, что юридически он будет абсолютно прав: внутри вашей организации не документировано, что вся информация, передаваемая средствами электронной почты с адресов, принадлежащих вашей организации, является собственностью фирмы.
Рассмотрим вторую крайность. Она, как правило, характерна для бывших военнослужащих и сотрудников спецслужб. У вас подготовлены великолепные документы, но абсолютно отсутствует их техническая поддержка. Что произойдет в таком случае? Ваши сотрудники рано или поздно нарушат положения организационных документов и, увидев, что их никто не контролирует, будут делать это систематически.
Таким образом, информационная безопасность - гибкая система, включающая в себя как организационные, так и технические меры. При этом нужно понимать, что здесь нельзя выделить более значимые меры или менее значимые. Важно всё. Нужно соблюдать меры защиты во всех точках сети, при работе любых субъектов с вашей информацией. (Под субъектом в данном случае понимается пользователь системы, процесс, компьютер или программное обеспечение для обработки информации). Каждый информационный ресурс, будь то компьютер пользователя или сервер организации, должен быть полностью защищен. Защищены должны быть файловые системы, сеть и т. д. Способы реализации мы здесь обсуждать не будем.
Существует огромное количество программного обеспечения, направленного на решение задачи защиты информации. Это и антивирусные программы, и сетевые экраны, и встроенные средства операционных систем. Однако самым уязвимым фактором всегда остается человек. Работоспособность любого программного обеспечения зависит от качества его написания, от грамотности администратора, который его настроил.
Многие организации в связи с этим создают отделы защиты информации или ставят задачи по обеспечению безопасности информации перед своими ИТ-отделами. Но не раз уже говорилось, что нельзя взваливать на ИТ-службу не свойственные ей функции. Предположим, что в вашей организации создан отдел ИТ-безопасности. Что делать дальше? С чего начинать его деятельность?
Первые шаги отдела ИБ
На мой взгляд, начинать нужно с обучения сотрудников, и в дальнейшем делать это не реже двух раз в год. Обучение обычного персонала основам защиты информации должно стать постоянным делом сотрудников отдела защиты информации.
Многие руководители пытаются сразу же получить от отдела защиты информации документ под названием "Политика безопасности". Это ошибка. Перед тем как вы сядете за написание этого серьезнейшего документа, который будет определять в дальнейшем все ваши усилия по обеспечению информационной безопасности вашей организации, нужно задать себе следующие вопросы:
- Какую информацию вы обрабатываете?
- Как ее классифицировать?
- Какими ресурсами вы обладаете?
- Как распределена обработка информации по ресурсам?
- Как классифицировать ресурсы?
Постараемся ответить на эти вопросы.
Классификация информации
На постсоветском пространстве исторически сложился подход к классификации информации (в первую очередь, государственной) по уровням требований к ее защищенности исходя из одного ее свойства - конфиденциальности (секретности).
Требования к обеспечению целостности и доступности информации, как правило, лишь косвенно упоминаются среди общих требований к системам обработки данных.
Если такой подход в какой-то степени оправдан для обеспечения безопасности информации, составляющей государственную тайну, то это не означает, что перенос его в другую предметную область (с другими субъектами и их интересами) будет правильным.
Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой несущественен, важнейшими являются совершенно другие свойства, скажем такие, как доступность, целостность или защищенность от неправомерного тиражирования. К примеру, для платежных (финансовых) документов самым важным является их целостность (достоверность). Затем следует свойство доступности (потеря платежного документа или задержка платежей может обходиться очень дорого). Требования к обеспечению конфиденциальности платежных документов, как правило, находятся на третьем месте.
Для сайта интернет-газеты на первом месте будет стоять доступность и целостность информации, а не ее конфиденциальность. Попытки подойти к решению вопросов защиты такой информации с позиций традиционного обеспечения только конфиденциальности терпят провал. Основными причинами этого являются узость традиционного подхода к защите информации, отсутствие у отечественных специалистов опыта и соответствующих проработок в плане обеспечения целостности и доступности информации, не являющейся конфиденциальной.
Для усовершенствования классификации информации в зависимости от требований к ее защищенности следует ввести несколько степеней (градаций, категорий) требований по обеспечению каждого из свойств безопасности информации: доступности, целостности, конфиденциальности.
Количество градаций и вкладываемый в них смысл могут различаться.
Категории защищаемой информации
Исходя из необходимости обеспечить различные уровни защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в организации, введем несколько категорий конфиденциальности и целостности защищаемой информации.
При составлении перечня и формуляров функциональных задач, решаемых в организации, необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач).
Все выявленные в ходе обследования виды информации заносятся в соответствующий документ.
Далее необходимо определить, к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставленных организации прав).
Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения (на основе их личных оценок вероятного ущерба вследствие нарушения свойств конфиденциальности и целостности информации). Затем перечень согласовывается с руководителями отделов подразделений автоматизации и компьютерной безопасности и выносится на рассмотрение руководства организации.
На следующем этапе происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений организации и согласованных со службой ИТ, категорируются все прикладные функциональные задачи, решаемые в подразделениях с использованием компьютерной техники. Информация заносится в формуляры задач. Не следует проводить категорирование системных задач и программных средств вне привязки к конкретным компьютерам и прикладным задачам.
В дальнейшем с участием ИТ-специалистов и подразделения ИБ необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты. Эти данные будут использоваться в качестве эталона настроек средств защиты соответствующих компьютеров, а также для контроля правильности их установки.
На последнем этапе устанавливается категорирование компьютеров, исходя из максимальной категории специальных задач, решаемых на нем, и максимальных категорий конфиденциальности и целостности информации, используемой при решении этих задач. Информация о категории компьютера заносится в его формуляр.
В понятие инвентаризации ресурсов входит не только сверка активных и пассивных сетевых ресурсов, которыми вы обладаете, со списком оборудования (и его комплектности), закупленного организацией. Для сверки оборудования и его комплектности можно воспользоваться соответствующим программным обеспечением (например, Microsoft SMS Server) и т. п.
Сюда же можно отнести создание карты сети с описанием всех возможных точек подключения, составление списка используемого программного обеспечения, формирование фонда эталонов лицензионного программного обеспечения, используемого в организации, а также фонда алгоритмов и программ собственной разработки.
Следует учесть, что программное обеспечение может быть допущено к работе лишь после его проверки отделом защиты информации на соответствие поставленным задачам, отсутствие всевозможных закладок и "логических бомб".
Хотелось бы сказать о появившейся у нас тенденции к использованию приложений с открытыми кодами. Бесспорно, они приносят существенную экономию ресурсов. Однако, думается, в этом случае безопасность определяется доверием уже не только к разработчику системы, но и к вашему администратору. А если принять во внимание зарплату администратора, то нетрудно сделать вывод, что купить ваши секреты намного проще и дешевле, чем осуществлять прямую внешнюю атаку. Стоит упомянуть и о том, что большую часть успешных атак осуществили инсайдеры (служащие самой компании).
Думается, что применять свободно распространяемое ПО, если существует риск нанесения серьезного ущерба, можно лишь при условии, что оно будет поставляться вам в откомпилированном виде и с цифровой подписью организации, гарантирующей отсутствие логических бомб, всяческого рода закладок и "черных ходов". Причем организация-гарант должна нести материальную ответственность. Однако на сегодня такое предложение стоит отнести к разряду нереальных.
После проверки эталонное программное обеспечение заносится в фонд алгоритмов и программ (эталонная копия должна сопровождаться файлом контрольной суммы, а лучше - электронной подписью разработчика). В дальнейшем, при смене версий, появлении обновлений, проверка программного обеспечения производится установленным порядком.
В формуляр каждого компьютера заносятся сведения об установленном программном обеспечении, указывается дата установки, цели, решаемые с помощью данного ПО, задачи, ставится фамилия и подпись лица, производившего установку и настройку ПО. После создания подобных формуляров служба информационной безопасности должна обеспечивать регулярную проверку соответствия реального положения формуляру.
Следующим этапом в построении службы защиты информации должен стать анализ рисков организации, на основе которого будет создаваться политика безопасности.
Владимир БЕЗМАЛЫЙ
Горячие темы